Aggiornamenti recenti Novembre 25th, 2024 12:15 PM
Ott 31, 2017 Marco Schiaffino Approfondimenti, In evidenza, Malware, RSS, Software 0
Come fermare l’ondata di ransomware che si sta abbattendo sui computer di mezzo mondo? È un problema che tutte le società di sicurezza si stanno ponendo ma per cui la risposte non sono ancora omogenee.
Per il momento abbiamo assistito a soluzioni che hanno adottato approcci molto diversi tra loro. C’è chi ha utilizzato sistemi di backup “continuo” per consentire il recupero dei file in caso di attacco e chi, come BitDefender, ha invece scelto di sfruttare le caratteristiche dei malware per “ingannarli”.
I primi hanno un impatto piuttosto pesante sulle prestazioni dei computer. Dover duplicare ogni cambiamento risulta un compito gravoso che rallenta molte delle operazioni quotidiane, soprattutto su sistemi di fascia bassa. Il secondo sistema, basato sul monitoraggio di alcuni file “esca” sul disco è efficace, ma sembra che stiano arrivando delle contromisure da parte dei criminali.
ESET ha scelto un approccio diverso, e nella sua nuova linea di prodotti per il 2018 ha introdotto uno strumento anti-ransomware specifico basato sull’analisi in cloud.
“Quello che abbiamo introdotto è un sistema che controlla tutti i programmi e i processi di crittografia” – spiega Massimiliano Ghelli, Technical Support Specialist di ESET. “Nel momento in cui viene rilevata un’attività di questo tipo, il software ESET avvia una verifica per capire se si tratti di un’’applicazione legittima o di un ransomware”.
Un sistema molto simile a quello usato per i normali malware, quindi, basato sul comportamento per poi incrociare quello sulle “firme”: “L’applicazione o il processo individuato viene confrontato con un database accessibile attraverso il servizio cloud ESET Live Grid per verificarne la reputazione” – spiega Ghelli.
Il risultato della verifica può provocare tre reazioni da parte del sistema di sicurezza. Se l’applicazione è legittima, l’antivirus le concede il via libera; nel caso si tratti di un ransomware conosciuto viene immediatamente bloccato. Il terzo caso, lascia la palla nelle mani dell’utente. Se il processo non è tra quelli conosciuti, viene sospeso e il software di sicurezza visualizza un messaggio lasciando all’utente il compito di scegliere come reagire.
“Questo approccio consente di risolvere una serie di problemi” spiega Ghelli. “Prima di tutto, usando un sistema di rilevamento di questo tipo ci si sgancia dall’uso classico delle signature, che in questi casi non sono affidabili. I pirati informatici usano infatti diversi accorgimenti per impedire l’analisi in sandbox dei loro ransomware e la conseguente creazione delle definizioni per individuarli”.
In secondo luogo, spiega il Technical Support Specialist di ESET, il sistema blocca la crittografia dei file anche nel caso in cui la macchina dovesse essere già infetta. E non si tratta di un dettaglio: in passato, infatti, i ricercatori hanno rilevato molto spesso casi in cui i pirati informatici hanno utilizzato un trojan per avviare la crittografia dei dati.
Infine, sfruttando l’analisi dei processi invece che quella dei file, il sistema è efficace anche negli attacchi “fileless”, ovvero con codice scaricato direttamente in memoria senza arrivare sul disco.
Il processo di criptazione del file non viene bloccato in attesa del responso dalla cloud ma i rischi legati a questo tipo di approccio “reattivo” sarebbero minimi: secondo Ghelli i test di ESET hanno evidenziato che in caso di attacco il blocco avverrebbe in tempi brevissimi e un eventuale ransomware riuscirebbe al massimo a crittografare uno o due file prima di essere fermato.
Un sacrificio tutto sommato accettabile, considerato che l’alternativa è quella di rischiare il “rapimento” di tutti i documenti presenti sul computer. Il modulo anti-malware è inserito in tutti i prodotti ESET (NOD32 Antivirus, Internet Security e Smart Security Premium).
La legittima domanda su cosa accade con i ransomware che invece di girare sotto il sistema operativo decidono di lanciarsi come primo programma al riavvio della macchina è fuorviante. In quel caso, infatti, la protezione del computer è demandata al resto della suite di sicurezza.
“Perché un ransomware” – dice Ghelli – “possa essere lanciato al riavvio, prima che il sistema operativo venga avviato, serve che un malware riesca a bypassare tutti i controlli a strati che una suite di sicurezza mette in opera. In pratica, la protezione contro questo tipo di malware è la stessa che viene messa in opera contro i rootkit e siamo ovviamente molto attenti a quel tipo di minacce.”
Nov 19, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Ott 28, 2024 0
Nov 25, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...