Cisco Talos è riuscita a decriptare il ransomware Thanatos e ha fornito a tutti quindi un tool gratuito con cui è possibile sbloccare i propri file criptati da questo malware. ThanatosDecryptor.
Utenti e aziende possono quindi usarlo per riavere i propri dati. Si tenga conto che, come dice Craig Williams, Director of Talos Outreach al nostro sito, “questo malware nemmeno permetteva agli utenti di riavere i propri file dopo il pagamento; era progettato infatti per distruggerli”.
“Il nuovo strumento di Talos permette di decifrare i file in media in meno di un quarto d’ora con la potenza di una tipica macchina virtuale. Certamente un’ottima notizia per chi ha subito in questi giorni un’infezione da questo malware, o la subirà nei prossimi”, commenta Claudio Telmon di P4i. “Possiamo immaginare che gli autori di Thanatos provvederanno rapidamente a migliorare il loro malware, rendendo inefficace il tool, ma per ora questa specifica minaccia è resa inefficace. Vale comunque la pena di fare qualche considerazione”.
Indice degli argomenti
Come sono riusciti a decifrare
“L’errore che ha permesso a Talos di sviluppare il tool è infatti abbastanza banale, e porta ad avere di fatto una chiave di cifratura di soli 32 bit. Un errore che conferma che spesso dietro a questi tool non ci sono dei maghi, ma soprattutto criminali che hanno trovato il modo di fare un po’ di soldi con poco rischio”, spiega Telmon.
I rischi della crittografia fatta in casa”
“Ma questo episodio ci conferma ancora una volta che la crittografia fatta in casa difficilmente funziona, se messa realmente alla prova”, ricorda Telmon. Le aziende non devono insomma fare gli stessi errori degli autori di Thanatos.
“Molto meglio affidarsi ad algoritmi, protocolli e strumenti ampiamente testati che tentare strade artigianali, inutili e rischiose. Nei pochi casi in cui c’è realmente l’esigenza di sviluppare qualcosa di personalizzato, è comunque necessario rivolgersi a specialisti, evitando di improvvisare”.
L’escalation del ransomware, una lezione per le aziende
Aggiunge Luca Bechelli, di P4I: “C’è un’altra possibile lezione che possiamo dedurre: gli “arsenali digitali” di vulnerabilità che possono essere sfruttate per generare attacchi in grado di compromettere i sistemi delle aziende, sono facilmente accessibili da parte di persone con competenze via via sempre più limitate. Probabilmente siamo (di nuovo e sempre più di frequente) di fronte a “integratori” di pezzi di codice malevolo che, ancora efficace rispetto alle soluzioni di difesa mediamente disponibili, circolano in quantità sempre maggiori”.
“Ciò determina una escalation di “fonti di attacco”, gruppi di persone con expertise non necessariamente elevate, spesso al soldo dei cyber-criminali, la cui minore competenza non significa tuttavia minore capacità di causare danni”.
Quello che è successo è un “penetration test” gratuito: chi ha subito l’attacco oggi può rasserenarsi perché esiste un modo per mitigare le conseguenze, ma ha avuto la dimostrazione che anche soggetti non adeguatamente preparati possono violare i sistemi. Vale la pena di investire i soldi risparmiati da un vero e proprio penetration test in una revisione delle misure di sicurezza, per evitare che il prossimo attacco, magari con impatti non mitigabili, non faccia breccia nell’azienda.
Williams conclude ricordando che “noi rispondiamo a questi crescente minacce rompendo le uova nel paniere dei criminali e quindi provando a rendere meno sostenibile il loro business model”.
“Alle aziende – continua – il consiglio è sempre lo stesso, contro i ransomware: tenere i sistemi sempre aggiornati in automatico, non cliccare su link sospetti, usare un ad blocker”.
