Symbolic, azienda che opera sul mercato come Distributore a Valore Aggiunto di soluzioni di Data & Network Security, analizza la minaccia Cryptolocker e suggerisce alcuni comportamenti per mitigare il rischio.
Cryptolocker è un trojan di tipo ransomware: un malware che, una volta eseguito, cifra i documenti presenti sul disco fisso rendendoli inutilizzabili all’utente. Per sbloccare i file viene richiesto il pagamento di un riscatto. Se l’utente non effettuerà il versamento della quota richiesta, la chiave utilizzata per cifrare i suoi dati verrà definitivamente cancellata dai server degli autori di Cryptolocker rendendone impossibile il recupero. Tuttavia, in alcuni casi, anche pagando il riscatto è possibile che la chiave per decifrare i dati non venga inviata alla vittima.
Cryptolocker utilizza solitamente comunicazioni che adottano strategie di social engineering: cerca cioè di ingannare gli utenti portandoli ad aprire documenti verosimili recapitati solitamente come allegati ai messaggi di posta elettronica e inviati da mittenti apparentemente legittimi. I file eseguibili vengono spesso zippati e l’estensione “mascherata”: non viene visualizzato come “nomefile.exe” ma “nomefile.pdf.exe”, “nomefile.docx.exe”, etc. Esistono anche altri metodi per indurre gli utenti a scaricare il malware, come ad esempio, mail di phishing in cui è contenuto un link, file doc o pdf al cui interno si possono trovare link, macro etc. Una volta eseguito il file, il sistema infettato inizia a cifrare i dati in locale e sugli share di rete.
In alcuni casi l’esecuzione non viene bloccata dal sistema di rilevazione antivirus semplicemente perché quella scaricata dall’utente è una nuova versione del malware non ancora presente nelle signature. Quando gli autori di Cryptolocker iniziano a diffondere un nuovo set di mail contenente l’attacco, contestualmente creano una nuova versione di Cryptolocker per cifrare i file bersaglio. In questo modo, gli utenti che ricevono una nuova mail scaricheranno sempre una nuova versione del file testata per non essere rilevata dalla maggior parte dei software antivirus. L’infezione potrebbe non essere rilevata se l’esecuzione del file avviene nell’intervallo di tempo tra la prima diffusione del file e la creazione/rilascio/installazione locale della signature antivirus. Nel caso di Cryptolocker, l’accuratezza delle mail/documenti inviati e l’estrema rapidità con cui le nuove varianti vengono create, non sempre consentono ai vendor di essere sufficientemente veloci nel rilascio delle signature antivirus. Questi fattori portano sovente ad un’alta probabilità di infezione.
Per mitigare il rischio è consigliabile mettere in atto alcune strategie:
– Gli utenti dovrebbero porre la massima attenzione alla natura degli allegati che decidono di aprire, in modo particolare al contenuto degli ZIP. Non dovrebbero aprire allegati con estensione .cab, .exe, .lnk. ecc. a meno di non essere estremamente sicuri che la mail sia reale.
– Effettuare frequentemente il backup (backup offline, o comunque non accessibile via rete con credenziali utente o nulle).
– Aggiornare frequentemente il database del proprio Antivirus, attivando dove possibile i controlli aggiuntivi: controllo delle applicazioni, controlli proattivi, protezione della navigazione e controllo della posta.
– Munirsi di soluzioni di controllo contenuti a livello gateway (UTM firewall, content security gateways) in modo da poter controllare/filtrare il contenuto del traffico mail o web.
– Inibire, ove possibile, la ricezione di file eseguibili nelle caselle di posta elettronica ed il download di eseguibili dal web. Questa operazione eleva notevolmente il livello di sicurezza della rete, senza interferire con l’attività quotidiana degli utenti che, in genere, non presuppone il download, l’installazione o l’esecuzione di file.
– Attivare funzionalità anti APT (Advanced Persistent Threat) sulle soluzioni di sicurezza. Queste possono rilevare agevolmente una nuova minaccia eseguendo preventivamente il file, su macchine virtuali remote al posto dell’utente, reagendo in base al comportamento riscontrato. Le soluzioni anti APT sfruttano gli automatismi di analisi e l’alta diffusione dei malware come Cryptolocker come arma per impedirne l’accesso alla vostra rete.
– Attivare, ove possibile, soluzioni avanzate di End Point Protection. Queste soluzioni sono in grado di rilevare potenziali malware ancora sconosciuti in base al comportamento dell’eseguibile sul sistema operativo nel quale venga eseguito il file. Ad esempio, varianti di Cryptolocker utilizzano sistemi di memory overflow che possono essere facilmente riconosciute da sistemi avanzati di End Point Protection.
– Implementare sistemi avanzati di Behaviour Analysis per capire quando, come e dove un’infezione di Cryptolocker si sta attivando in rete.