Le vipere si sa godono di una cattiva fama. Non sempre fatali agli esseri umani sono protagoniste di narrazioni, metafore, proverbi e magie. La loro supposta pericolosità è usata anche per celebrare la cattiveria femminile di mogli e suocere come nel proverbio napoletano “La vipera che morse mia moglie, morì avvelenata”. Anche il serpente è meno pericoloso di quanto solitamente si pensi, certamente a partire da Eva e dalle sacre scritture. Non attacca l’uomo se non è stato provocato e preferisce girare intorno o alla larga. E’ però scaltro, fascinoso, simbolo malefico di perversione razionale e seduzione e come tale suscita dubbi, paure. La paura è giustificata perché ci sono serpenti e serpenti. E oggi ci sono anche i serpenti digitali! 

Il serpente digitale (SNAKE) è oggi una nuova forma di ransomware, una specie diversa, evoluta nella sua maggiore capacità di sfuggire alla caccia evitando di essere intercettato. Si muove sulla Rete ma interessa anche tutti i dispositivi usati per navigarla e abitarla. Mette a dura prova la vita degli amministratori di Rete e gli strumenti da essi implementati per difendersi da altre tipologie di ransomware. Nel caso in cui il morso del Serpente abbia effetto, l’infezione del suo veleno agisce crittografando tutti i dati dei dispositivi usati e collegati. 

La sua fama mediatica è certamente legata alla sua denominazione di serpente, poi alla sua sofisticatezza e subdola pericolosità. Chi ne viene morso può continuare a usare sistema operativo, file system, file e applicazioni o programmi del suo dispositivo. In pratica il sistema parte regolarmente, chiede come sempre le credenziali di accesso, presenta sul display le APP preferite e sembra funzionare regolarmente. Peccato che documenti, fogli elettronici, foto, file musicali, piani di business e altri file di lavoro sono stati criptati con parole chiave scelte in modo stocastico e casuale. Un problema serio se i file che sono stati criptati sono utilizzati all’interno di un’azienda o una organizzazione. Un problema per tutti coloro che sono collegati in Rete se i file sono individuali e personali. 

Individuato per la prima volta dall’hacker buono Vitali Kremez (MalwareHunterTeam), lo Snake (serpente) è scritto in Golan (linguaggio di programmazione poco conosciuto) ed è ritenuto un ransomware dall’elevata capacità di offuscamento (più difficile da essere individuato), molto maggiore di quella dei ransomware finora conosciuti. Più che singole macchine colpisce la Rete mettendo a rischio processi e operatività aziendali. 

I file infettati sono riscritti sulle copie originali con al loro interno le informazioni necessarie per la decrittazione. Informazioni in forma di metadati, anch’essi criptati, seguiti dalla denominazione o tag EKANS (SNAKE al contrario). Le chiavi usate per criptare i file sono generate in modo stocastico attraverso algoritmi simmetrici. Le chiavi generate sono di due tipi, una pubblica applicabile sia per bloccare sia per sbloccare i file, una privata per bloccare la chiave pubblica. Per ritornare in possesso dei file infetti sarà necessaria una chiave privata per sbloccare la chiave simmetrica e poi quest’ultima per sbloccare il file. 

Le modalità con cui SNAKE opera nel propagare la sua infezione sono per ora ancora sconosciute. Gli esperti cybercriminali che lo hanno realizzato potrebbero avere scelto email fraudolente come veicolo di diffusione o allegati opportunamente danneggiati e velenosi. Se l’infezione è riuscita gli algoritmi di crittografia applicati rendono i dati inutilizzabili fino a quando il riscatto richiesto non sarà stato pagato Solo allora i cybercriminali rilasceranno lo strumento di decodifica. 

Le vittime potenziali di SNAKE sono le aziende e le organizzazioni. La difesa inizia dalla prevenzione e dalla capacità di mantenere elevato il livello di allerta verso ogni tipologia di Ransomware. Le molteplici informazioni disponibili in Rete su come gestire SNAKE potrebbero trarre in inganno o fornire soluzioni e indicazioni parziali. Meglio rivolgersi a specialisti e professionisti capaci di analizzare il problema e il rischio e di fornire quanto serve per sventare l’attacco o, meglio ancora, prevenirlo.