Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
ESET: tolleranza zero per i ransomware. Ecco come funziona il sistema di rilevamento.
La società di sicurezza slovacca integra nei suoi software un modulo anti-ransomware. “Analizziamo tutti i processi che usano la crittografia”.
Come fermare l’ondata di ransomware che si sta abbattendo sui computer di mezzo mondo? È un problema che tutte le società di sicurezza si stanno ponendo ma per cui la risposte non sono ancora omogenee.
Per il momento abbiamo assistito a soluzioni che hanno adottato approcci molto diversi tra loro. C’è chi ha utilizzato sistemi di backup “continuo” per consentire il recupero dei file in caso di attacco e chi, come BitDefender, ha invece scelto di sfruttare le caratteristiche dei malware per “ingannarli”.
I primi hanno un impatto piuttosto pesante sulle prestazioni dei computer. Dover duplicare ogni cambiamento risulta un compito gravoso che rallenta molte delle operazioni quotidiane, soprattutto su sistemi di fascia bassa. Il secondo sistema, basato sul monitoraggio di alcuni file “esca” sul disco è efficace, ma sembra che stiano arrivando delle contromisure da parte dei criminali.
Anche contro il ransomware, la protezione arriva dal Cloud
ESET ha scelto un approccio diverso, e nella sua nuova linea di prodotti per il 2018 ha introdotto uno strumento anti-ransomware specifico basato sull’analisi in cloud.
“Quello che abbiamo introdotto è un sistema che controlla tutti i programmi e i processi di crittografia” – spiega Massimiliano Ghelli, Technical Support Specialist di ESET. “Nel momento in cui viene rilevata un’attività di questo tipo, il software ESET avvia una verifica per capire se si tratti di un’’applicazione legittima o di un ransomware”.
Un sistema molto simile a quello usato per i normali malware, quindi, basato sul comportamento per poi incrociare quello sulle “firme”: “L’applicazione o il processo individuato viene confrontato con un database accessibile attraverso il servizio cloud ESET Live Grid per verificarne la reputazione” – spiega Ghelli.
Ancora una volta la soluzione arriva dalla cloud, che consente di controllare la reputazione del processo attivo e verificare se sia legittimo o pericoloso.
Il risultato della verifica può provocare tre reazioni da parte del sistema di sicurezza. Se l’applicazione è legittima, l’antivirus le concede il via libera; nel caso si tratti di un ransomware conosciuto viene immediatamente bloccato. Il terzo caso, lascia la palla nelle mani dell’utente. Se il processo non è tra quelli conosciuti, viene sospeso e il software di sicurezza visualizza un messaggio lasciando all’utente il compito di scegliere come reagire.
Efficace contro le tecniche di offuscamento più avanzate.
“Questo approccio consente di risolvere una serie di problemi” spiega Ghelli. “Prima di tutto, usando un sistema di rilevamento di questo tipo ci si sgancia dall’uso classico delle signature, che in questi casi non sono affidabili. I pirati informatici usano infatti diversi accorgimenti per impedire l’analisi in sandbox dei loro ransomware e la conseguente creazione delle definizioni per individuarli”.
In secondo luogo, spiega il Technical Support Specialist di ESET, il sistema blocca la crittografia dei file anche nel caso in cui la macchina dovesse essere già infetta. E non si tratta di un dettaglio: in passato, infatti, i ricercatori hanno rilevato molto spesso casi in cui i pirati informatici hanno utilizzato un trojan per avviare la crittografia dei dati.
Infine, sfruttando l’analisi dei processi invece che quella dei file, il sistema è efficace anche negli attacchi “fileless”, ovvero con codice scaricato direttamente in memoria senza arrivare sul disco.
Il processo di criptazione del file non viene bloccato in attesa del responso dalla cloud ma i rischi legati a questo tipo di approccio “reattivo” sarebbero minimi: secondo Ghelli i test di ESET hanno evidenziato che in caso di attacco il blocco avverrebbe in tempi brevissimi e un eventuale ransomware riuscirebbe al massimo a crittografare uno o due file prima di essere fermato.
Un sacrificio tutto sommato accettabile, considerato che l’alternativa è quella di rischiare il “rapimento” di tutti i documenti presenti sul computer. Il modulo anti-malware è inserito in tutti i prodotti ESET (NOD32 Antivirus, Internet Security e Smart Security Premium).
E contro Petya o NotPetya?
La legittima domanda su cosa accade con i ransomware che invece di girare sotto il sistema operativo decidono di lanciarsi come primo programma al riavvio della macchina è fuorviante. In quel caso, infatti, la protezione del computer è demandata al resto della suite di sicurezza.
“Perché un ransomware” – dice Ghelli – “possa essere lanciato al riavvio, prima che il sistema operativo venga avviato, serve che un malware riesca a bypassare tutti i controlli a strati che una suite di sicurezza mette in opera. In pratica, la protezione contro questo tipo di malware è la stessa che viene messa in opera contro i rootkit e siamo ovviamente molto attenti a quel tipo di minacce.”
Condividi l'articolo
Usate WordPress? Aggiornate di corsa alla 4.8.3!
Lo smartphone recita il rosario, ma ti prosciuga batteria e traffico dati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
