Che cos’è un ransomware? Come si diffonde? E cosa comporta? Tutto quello che c’è da sapere sui più recenti e temuti virus informatici.

I ransomware sono una delle minacce che hanno registrato la crescita più forte negli ultimi anni. Si tratta di oggetti malevoli (malware, di cui abbiamo già parlato qui) che, una volta eseguiti sulla macchina dell’utente, cifrano i suoi file personali con una chiave crittografica mantenuta segreta, bloccandoli al proprietario.

I file vengono così letteralmente "presi in ostaggio" e solo il pagamento di un riscatto ne permetterà la decodifica. Più il tempo passa e più la somma di denaro richiesta aumenta, fino a che, al mancato pagamento dell’utente al termine di una scadenza, la chiave di decodifica viene definitivamente cancellata, facendogli così perdere i dati per sempre. 

Il versamento di solito viene richiesto nella crittovaluta BitCoin: in questo modo la transazione avviene senza intermediari e non è tracciabile.

Tecnicismi

Il ransomware in sé altro non è che una normale applicazione che utilizza algoritmi crittografici, in genere non violabili. L'algoritmo RSA, ad esempio, così come gli altri algoritmi crittografici di tipo asimmetrico, poggia il suo funzionamento sull'uso di una chiave per cifrare il messaggio (chiave pubblica) e una per decifrarlo (chiave privata). Nonostante le chiavi siano dipendenti tra loro, non è possibile risalire all’una utilizzando l’altra e ciò rende questo metodo di crittografia, detto “asimmetrico”, uno dei più sicuri. 

Nel caso del ransomware, questa coppia di chiavi viene usata dal virus per cifrare tutti i file personali dell’utente (o comunque quelli che hanno una determinata estensione come .doc, .pdf, .docx ecc.) e, mantenendo la chiave di decifratura segreta, impedendogli l’accesso ai suoi dati. 

La differenza tra questi malware e i software legittimi sta nel fatto che, mentre la chiave pubblica rimane sul sistema dell’utente, la chiave privata viene tenuta su dei server privati, a cui gli utenti non possono accedere. 

In sintesi: ogni file crittografato con una certa chiave pubblica può essere decodificato soltanto usando la corrispondente chiave privata e i ransomware altro non fanno che codificare la chiave pubblica e nascondere quella privata fino al pagamento di un riscatto.

Cosa sono i dati di cui stiamo parlando

Spesso accade che l’utente medio non prenda troppo sul serio queste indicazioni, in quanto non ha chiara l’idea di cosa siano questi “dati” di cui si impossessa un ransomware. 

Quando parliamo di dati privati contenuti in un computer o in un server, non ci riferiamo soltanto al nome e alle foto personali dell’utente ma anche a particolari molto più privati, come l’indirizzo, il numero di telefono, i codici pin e le password che si usano per accedere a siti, mail e, perché no, conti in banca.

Se l’attacco a un privato può quindi essere molto nocivo, immaginate i livelli di danni che può fare questo virus ai server di ospedali, banche, compagnie telefoniche o pubbliche amministrazioni.

Come proteggersi

Vista la delicatezza delle informazioni da proteggere è quindi necessario usare delle semplici precauzioni:

1. Non aprire mai gli allegati mail sui quali si hanno dei dubbi. Il mittente dell'email può non essere quello reale quindi è bene controllare attentamente l’indirizzo (che potrà essere sì molto simile, ma mai uguale a quello originale) e il testo della mail, verificando che sia attendibile. 

2. Utilizzare un buon antivirus/antispam lato server.

3. Utilizzare delle protezioni che agiscano a livello di singola macchina e non solo sul sistema centralizzato. 

4. Quando si lavora in Windows, usare un account utente standard per il lavoro quotidiano e non uno amministratore. In questo modo non si aprono gli accessi a livelli superiori ad eventuali attacchi. 

5. Attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione.

6. Fare il backup dei dati preziosi. Tutti i file che servono devono essere salvati su un disco esterno che va staccato dal pc una volta completato il backup.

7. Le password di accesso alla mail, ai social e ai siti, infine, devono essere sufficientemente complesse e cambiate almeno ogni tre mesi.

8. Aggiornare tutti i software che si utilizzano, sistema operativo compreso.

Cosa fare se si viene colpiti da un ransomware

Premettendo che non sempre è possibile recuperare i dati che sono stati sottratti, come prima cosa, una volta che si viene colpiti da questo malware, è bene verificare quale ransomware ha crittografato i propri dati. Per fare ciò è necessario, a meno che non si sia esperti in materia, chiamare un professionista. 

Nel caso in cui venga richiesto un pagamento, ricordiamo che cedere a un’estorsione è un reato e quindi è bene fare subito denuncia alla polizia postale.

Venerdì 22 Settembre 2017, il sito tecsis.it sarà offline per manutenzione. 

Informiamo gli utenti che venerdì, a causa di lavori di manutenzione, il sito tecsis.it, l'applicazione web IridePLUS e i siti presenti sui nostri server, saranno offline per tutta la giornata.

Saremo comunque operativi e rimaniamo a disposizione per qualunque richieta.

Il WP29 aggiorna le regole del trattamento dei dati nel rapporto di lavoro, alla luce delle nuove tecnologie informatiche e del GDPR.

L’evoluzione tecnologica abbinata al costante cambiamento del mercato del lavoro impone un conseguente adeguamento anche in ambito legislativo. Sullo sfondo il nuovo Regolamento Europeo 2016/679, Regolamento ispirato ad una maggiore trasparenza nella gestione dei dati e finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei propri dati personali.

Tali regole si applicheranno anche al trattamento dei dati nell’ambito del rapporto di lavoro.

Nel documento, rivolto non solo ai lavoratori dipendenti ma anche a quelli autonomi, il WP29 (il provvedimento adottato dal Gruppo sulla specifica materia) ha innanzitutto sottolineato che, nell’effettuare il trattamento di tale tipologia di dati personali, i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza e solo dopo, individuare le basi giuridiche di tale trattamento, precisando che queste ultime possono distinguersi, alternativamente nell’:

• Adempimento di obblighi derivanti da un contratto di lavoro;
• Adempimento di obbligazioni previste dalla legge e
• Nell’interesse legittimo del datore di lavoro.

Con particolare riferimento all’interesse legittimo del datore di lavoro poi, il WP29 ricorda di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, redigendo in caso una valutazione d’impatto.

Si ricorda infine che nel caso in cui la manipolazione dei dati dei lavoratori si fondi sull’interesse legittimo del titolare, quest’ultimo è sempre tenuto ad assicurare agli interessati il diritto di opporsi al trattamento.

I casi

Il WP29 ha individuato 9 scenari tipici di trattamento di dati personali dei lavoratori, basati su un interesse legittimo del titolare del trattamento, che possono presentare dei rischi per i diritti e le libertà fondamentali dei lavoratori.

1. Trattamento dei dati dei candidati presenti sui social network

Il datore di lavoro può trattare i dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati per finalità lavorative. Il candidato deve inoltre essere informato della procedura, anche mediante indicazione all’interno dell’annuncio di lavoro.

2. Trattamento dei dati dei lavoratori presenti sui social network

Per quanto riguarda i dipendenti, i presupposti previsti sono pressoché gli stessi di quelli per i candidati, con un’imposizione aggiuntiva, per il datore di lavoro, di provare che non ci siano altri veicoli per arrivare alla finalità del trattamento (è legittimo, ad esempio, monitorare il profilo LinkedIn di un ex dipendenti per controllare che non abbia violato il patto di non concorrenza).

3. Monitoraggio della strumentazione informatica dei lavoratori

Si ritiene che il trattamento dei dati dei lavoratori, relativo all’utilizzo della loro strumentazione informatica (mail, cronologia delle ricerche, telefonate ecc.), rappresenti la più grande minaccia alla loro sicurezza. Si incoraggia perciò l'adozione di soluzioni che limitino l'accesso indiscriminato ai dati, sia per tipologia sia per orizzonte temporale.

Con particolare riferimento all’utilizzo della strumentazione informatica da remoto invece, pur dovendo far fronte a possibili accessi da parte di terzi, le misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture”, sono considerate illegittime. 

4. Mobile Device Managment

Prima dell’inizio del trattamento di tali dati deve essere effettuata una Data Protection Impact Assessemnt (DPIA), al fine di verificare la necessità del trattamento rispetto alle finalità perseguite. I dipendenti devono inoltre essere adeguatamente informati dei controlli e delle conseguenze relative.

5. Wearable Devices

I dati personali raccolti tramite strumenti che monitorano l’attività fisica della persona, possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio. Il monitoraggio da parte del datore di lavoro è considerato illegittimo.

6. Rilevazione della presenza dei lavoratori

Alcuni strumenti utilizzati dal datore di lavoro per finalità del tutto legittime, possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro. Tali trattamenti di dati sono però legittimi in quanto di interesse del titolare, finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale. I lavoratori devono essere informati di tale trattamento con un’apposita informativa.

7. Trattamenti di dati mediante sistemi di videosorveglianza

L’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

8. Geolocalizzazione dei veicoli

Il trattamento dei dati tratti dalla geolocalizzazione dei veicoli aziendali, effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza di veicoli e/o lavoratori o ancora per la pianificazione in tempo reale di alcune attività lavorative, risulta del tutto lecito. Illecito è invece monitorare i lavoratori e la loro posizione geografica nel caso in cui i veicoli aziendali possano essere utilizzati anche per finalità private. Si suggerisce di inserire un’informativa sulla privacy all’interno del mezzo.

9. Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 espone due casi: quello in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, si ritiene che il trasferimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda invece, si richiamano i principi generali per il trasferimento di dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR.

Le imprese italiane utilizzano la fatturazione elettronica più della media UE, tra i vantaggi: contenimento dell’evasione, abbattimento dei costi e controllo della spesa pubblica.

Sono oltre 55 milioni le fatture gestiste digitalmente dalla pubblica amministrazione dal giugno 2014 all’inizio del 2017. Questo ha portato un beneficio economico stimato intorno al all’1,5 miliardi di euro circa 17,00€ a fattura, secondo l’Osservatorio fatturazione elettronica del Politecnico di Milano. 

La fatturazione elettronica costituisce oggi un innesco strategico della trasformazione digitale di PA e aziende, questo processo è andato man mano concretizzandosi negli ultimi due anni, mandando quasi in pensione il vecchio sistema di logica a silos. 

La e-fattura nasce da un progetto dell'Agenda digitale italiana, un’organizzazione significativa nel contesto del monitoraggio e del controllo della spesa pubblica. Per obbligo di legge le fatture emesse nell’ultimo anno verso le PA sono esclusivamente elettroniche. Dallo scorso 1° gennaio questa possibilità è stata aperta anche al B2B; il sistema di interscambio, sviluppato da Sogei, è gestito e controllato dall’Agenzia delle Entrate.

Secondo gli ultimi dati le aziende che si avvalgono della e-fattura sono circa 900mila e il sistema gestisce fatturazioni per un volume di oltre 50 milioni.

FatturaPA è molto diffusa tra le imprese italiane, circa il 30% la utilizza quotidianamente, contro una media europea del 18%. Questi dati concorrono a collocare l’Italia al quarto posto tra i Paesi europei per l’uso della Fatturazione Elettronica, all’interno delle classifiche DESI 2017 sul tema dell’integrazione delle tecnologie digitali.

I risparmi per le organizzazioni che si avvalgono di fatturazione digitale però non si limitano solo ai costi di stampa dei documenti ma anche a quelli di manodopera per l’attività di imbustamento, gestione della relazione col cliente e conservazione documentale. 

Aumento della produttività delle imprese, monitoraggio della spesa pubblica, scalabilità dei servizi pubblici della PA, contenimento dell’evasione fiscale e riduzione dei tempi di pagamento, sono alcuni dei vantaggi derivanti dal decollo della fatturazione elettronica in Italia. Bisogna però anche citare anche gli effetti positivi in termini di miglioramento della gestione strategica della burocrazia. 

La Fatturazione Elettronica è uno dei progetti strategici dell’Agenda Digitale Italiana e ha l’obiettivo di favorire la dematerializzazione e standardizzazione dei processi di emissione e gestione delle fatture verso la PA, nonché l’interscambio tra le imprese B2B, anche attraverso particolari sistemi di incentivazione. 

Il nostro Servizio IridePlus è lo strumento ideale per la gestione del ciclo passivo delle fatture PA. Specificatamente creta per la PA, è adatto anche all’azienda privata che intende risparmiare nei processi di gestione delle fatture dei fornitori e, proprio dal Politecnico di Milano, Dipartimento di Ingegneria gestionale, è stato premiato tra i migliori prodotti della sua categoria.

Per maggiori informazioni clicca qui >>>

Con oltre 638 milioni di attacchi malware, le minacce del web sono sempre più pericolose e frequenti

Sempre più spesso sentiamo parlare di virus, malware e ransomware, i nuovi pericoli di internet che attaccano i computer creando danni, a volte, anche irreparabili. Queste minacce hanno però delle peculiarità e non sono proprio tutti la stessa cosa. Qui di seguito cercheremo di fare un po’ di chiarezza e di spiegarne bene le differenze. 

Cosa sono i malware

Malware è un’abbreviazione di “MALicious softWARE” ed è un software creato per ottenere l’accesso ai computer degli utenti colpiti, inducendoli con l’inganno a salvare determinati programmi.

Una volta installato quel software, il malware può tracciare tutto ciò a cui l’utente sta effettuando l’accesso, disturbandolo, rubando dati sensibili o mostrando pubblicità indesiderata. 

Malware è quindi la macro-categoria, che si suddivide in vari tipi di minacce, che attaccano le macchine in modo diverso, creando danni differenti. Principalmente si suddividono in:

• virus: un software che, una volta eseguito, infetta alcuni file in modo da fare copie di se stesso, generalmente senza farsi rilevare dall'utente, contagiando tutti i computer a cui si connette. Questo specifico malware, per le sue caratteristiche di pratica inutilità e per il fatto che può diffondersi solo attraverso mezzi fisici (come chiavette USB), è oggi praticamente scomparso; 
• keylogger: uno strumento hardware o software in grado di effettuare lo sniffing della tastiera di un computer, cioè di intercettare e catturare segretamente tutto ciò che viene digitato senza che l'utente se ne renda conto;
• trojan: letteralmente Cavallo di Troia, è un malware che, proprio come l’omonimo omerico, nasconde un codice maligno all’interno di un altro programma apparentemente innocuo. Eseguendo questo programma, l’utente ignaro installa il malware contenuto e tutto ciò che ne consegue; 
• spyware: un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente, numeri di carte di credito, siti web visitati, credenziali di accesso ai siti e alla posta elettronica ecc., senza il suo consenso;
• worm: uno dei malware più pericolosi che, come il virus, è in grado di replicarsi nelle reti LAN ma per farlo non necessita di legarsi ad altri programmi eseguibili o mezzi fisici, poiché usa protocolli di rete e alcune sue falle;
• ransomware: un tipo di malware che blocca l'accesso del dispositivo che infetta e richiede un riscatto (ransom in Inglese) all’utente, solitamente in bitcoin (una moneta elettronica distribuita e gestita completamente nella rete, ciò rende impossibile a qualunque ente governativo il blocco dei trasferimenti). 

Come si diffondono i malware

I malware si diffondono principalmente via mail, attraverso link che portano gli utenti meno accorti a cliccare, promettendo informazioni che questi potrebbero trovare interessanti. Una volta fatto il click si viene reindirizzati a un sito internet falso ma che appare uguale a quello desiderato. Qui l’utente sarà invitato a scaricare un software e, una volta eseguito il download, il computer verrà infettato.

Siti internet e popup che offrono contenuti come musica o film gratis sono la principale risorsa dei cyber attacchi. 

Come proteggersi

Il primo passo da fare per proteggersi dalla perdita di dati è quello di fare backup frequenti di tutti i dispositivi. Utilizzando inoltre un VPN, cioè una rete di telecomunicazioni privata, si può aumentare il livello di sicurezza, poiché permette agli utenti di accedere in modalità anonima, rendendo più difficile tracciare i computer. Tutti i dati che vengono condivisi online usando un VPN sono inoltre criptati.

La formazione costante degli utenti è un altro strumento di prevenzione molto utile. Una maggiore consapevolezza riguardo le minacce permetterà di agire in maniera più conscia e quindi sicura.

In ogni caso rimane sempre importante prestare particolare attenzione ai file che si ricevono, inviano e a cosa si sta cliccando.

IKARUSdilapidated, una probabile variante del più famoso ransomware Locky, ha iniziato una campagna mail pericolosa e difficile da contrastare.

All’inizio di agosto, per tre giorni, un nuovo ramsomware chiamato IKARUSdilapidated ha attaccato migliaia caselle di posta, con messaggi che contenevano poco contenuto e un allegato che si è rivelato essere molto pericoloso. 

Questo file ha un’estensione che può essere un .doc, un .vbs, un .tiff, o un file zippato, con un nome poco chiaro, che riporta una E seguita da una data e un numero a tre cifre tra parentesi.

In caso di apertura del documento, ci si troverà di fronte a un foglio di word, con stringhe di caratteri incomprensibili e un avviso che sprona l’utente ad attivarne la decodifica tramite macro. Questa è la tecnica ingegneristica utilizzata in determinati tipi di attacchi phishing. Non appena l'utente farà come indicato, le macro salveranno ed eseguiranno un file binario che scaricherà il vero trojan di crittografia.

Per gli utenti più esperti il trucco è quasi obsoleto ma per il fruitore medio la trappola è sicuramente ben congegnata. Avviando il file si permette a uno script di scaricare un vero e proprio ransomware, IKARUSdilapidated appunto, che pare essere in grado di evitare la protezione degli antivirus. Grazie a una sorta di collaborazione con gli autori di Dridex, il trojan in grado di sfuggire alle analisi di sandbox, IKARUSdilapidated riesce a rimanere, per ora, sconosciuto ai maggiori programmi di antivirus, agendo così indisturbato sulla macchina infetta. 

Post-infezione, viene visualizzato sul desktop della vittima un messaggio, che chiede di scaricare il browser Tor e visitare un sito di pagamento, in cui viene poi estorto un riscatto tra 0.5 e 1 bitcoin (da 600 a 1200 dollari) per i file da decrittografare.

L'analisi su un campione di 62.000 email collegate alla campagna IKARUSdilapidated di Comodo ha rivelato un sofisticato avversario che utilizza, grazie a una sofisticata botnet, 11.625 diversi indirizzi IP distribuiti in 133 paesi diversi, come il Vietnam, l'India, il Messico, la Turchia e l'Indonesia.

I ricercatori dicono che questo ransomware è una variante di Locky, il virus che negli scorsi due anni ha estorto più di 7,8 milioni di dollari alle vittime degli attacchi, poiché ne condivide molte caratteristiche, come i nomi di file crittografati convertiti in una combinazione unica di 16 lettere e numeri con l'estensione file .locky.

Come sempre quindi invitiamo gli utenti a tenere alto il livello di allerta e ad essere molto attenti sui file di dubbia provenienza, cercando di non aprire gli allegati con leggerezza e noncuranza.