Nathan Shuchami, Head of Advanced Threat Prevention di Check Point spiega la crescita e l’emergenza del fenomeno ransomware, oltre ai consigli utili per difendersi.
Vi ricordate gli avvenimenti più importanti del 1989? A parte quella “piccola questione” della caduta del muro di Berlino, è anche l’anno in cui è stato individuato il primissimo ransomware. Si trattava del Trojan AIDs, che, dopo essere stato installato, crittografava i file dell’utente e chiedeva un riscatto di 189 USD, che dovevano essere spediti ad un ufficio postale di Panama per “rinnovare la licenza”.
Da quel momento, i ransomware sono letteralmente esplosi. Hanno colpito ospedali, aziende di fornitura, la polizia, enti governativi e aziende di ogni dimensione, e non accennano a diminuire, per il semplice fatto che hanno dimostrato che funzionano e che portano guadagni per i criminali che vi si celano dietro. E allora, come siamo arrivati a questo punto? Come possono fare le aziende per difendersi?
Dagli schermi bloccati alla crittografia
Come la maggior parte dei malware, i ransomware possono scatenarsi quando viene aperto l’allegato malevolo di una mail, cliccando su un pop-up poco chiaro, o semplicemente navigando su un sito compromesso. Minaccia le aziende in due modi: bloccando lo schermo dell’utente oppure crittografandone i file. I ransomware che bloccano lo schermo, come si intuisce dal nome, bloccano un PC mentre mostra un messaggio con la richiesta di riscatto del criminale, rendendolo inutilizzabile fino alla rimozione del malware. Anche se è un fastidio per l’utente, è gestibile, perché in genere colpisce solo un PC, ed è relativamente facile da risolvere: si tratta, infatti, della forma più “primitiva” di ransomware.
I ransoware che crittografano i file, invece, si sono affermati molto rapidamente nel 2013 come minaccia diretta alle aziende, perché in grado di tenere lontano in modo permanente gli utenti dai loro file e dai loro dati, sia sui pc individuali che su tutta la rete delle organizzazioni. Cryptolocker è stato il primo ransomware osservato quest’anno che si è davvero diffuso. Bloccando i dati dietro la crittografia fino al pagamento del riscatto, questo tipo di attacco ransomware ha raggiunto proporzioni davvero epidemiche.
Con l’evoluzione dei ransomware, anche i metodi d’attacco si sono evoluti. La variante SamSam, ad esempio, individuata per la prima volta nel gennaio 2016, non viene trasmessa via mail, ma attacca i server privi di patch per crittografare così grandi quantità di dati. Cerber, scoperto a febbraio, è stato uno dei ransomware con la diffusione più ampia quest’anno e comunica con un messaggio di richiesta di riscatto audio attraverso il sistema Microsoft Speech API.
Inoltre, abbiamo assistito all’affermarsi di ransomware che agiscono come virus e possono infettare le macchine attraverso le periferiche di archiviazione, come le USB. La nuova variante ransomware ZCrypt non si limita a crittografare i file quando infetta una macchina. Infatti, riesce a monitorare i cambiamenti dei file e crittografa tutti quelli che l’utente crea. Come tutti i virus per pc, deve essere rimosso totalmente dalla macchina infetta per eliminarne gli effetti. Inoltre, si stanno affermando nuove forme di ransomware, altamente specializzate. Alcune si diffondono con i file condivisi, altre sono sviluppate su misura per gli smartphone e i tablet. Il ransomware non è più una minaccia informatica a “taglia unica”: può colpire quasi tutti i tipi di dispositivo, e, partendo da questi, andare oltre.
Ransomware: pronti a tutto
Potrebbe non essere una sorpresa, forse, il fatto che le aziende in UK continuino ad impilare bitcoin per cercare di essere sempre più pronte contro i ransomware. Una ricerca di giugno 2016 di Citrix ha svelato che il 35% delle grandi aziende con più di 2.000 dipendenti pagherebbe fino a 50.000£ per riappropriarsi dei dati più sensibili dopo un attacco.
Purtroppo è vero che i danni causati dall’attacco dei ransomware più sofisticati sono difficili da rimediare una volta che i dati di un’organizzazione sono stati crittografati, se non si paga il riscatto. Tuttavia, pagare il riscatto non è mai consigliabile, perché questo rappresenta un successo per i cybercriminali e li incoraggia a commettere altri attacchi in futuro. Non c’è nessuna garanzia che la chiave per risolvere la crittografia venga davvero consegnata alla vittima.
Allora, in che modo le organizzazioni possono essere più pronte contro i ransomware? I principi base del backup dei dati sono essenziali. E’ necessario eseguire backup regolarmente e archiviarli separatamente dalla rete aziendale principale. Questo è l’unico modo per avere la certezza che, nel caso in cui dovesse accadere il peggio, e dovesse verificarsi un attacco ransomware, i file e le informazioni più delicati possano essere recuperati una volta che l’infezione sarà debellata.
Un’altra arma potentissima, poi, è la formazione dei dipendenti. Allegati e link dovrebbero infatti essere cliccati solo se provengono da un mittente che conosciamo. Se viene richiesto ad un utente di eseguire delle macro su un file Microsoft Office, la risposta più semplice è: non fatelo! Spesso, infatti, le macro sono la trappola che innesca il download di un ransomware, quindi, se vi viene richiesto di consentirne l’esecuzione su un file Microsoft Office, questo è il tipico segno di un attacco ransomware. Divulgare il più possibile questo tipo di conoscenze dovrebbe quindi essere il fulcro delle attività di training IT per i dipendenti.
Anche se in un’infrastruttura di sicurezza a più livelli aggiornare l’antivirus tradizionale e le altre difese con metodi basati sulla firma è essenziale, queste barriere possono essere scavalcate facilmente dai ransomware moderni e, da sole, non sono più sufficienti. Le organizzazioni, infatti, devono bloccare i ransomware prima che questi riescano ad infettarne la rete, iniziando le attività malevole. Le difese più avanzate, come le tecniche di threat extraction e di advanced sandboxing, sono necessarie per rafforzare le difese già in essere e per rendere le aziende più attrezzate per proteggersi dalle minacce ransomware in continua evoluzione.
La tecnica di threat extraction si basa su una semplice premessa: la grande maggioranza dei ransomware e dei malware si diffonde via mail, nascosta dietro i formati di file più utilizzati dalle aziende, come documenti Word, PDF, fogli Excel, e così via. Quindi, dal punto di vista della sicurezza, è meglio pensare che tutti gli allegati siano sempre infetti, ed estrarre quindi qualsiasi potenziale minaccia prima che questi arrivino nelle mani dell’utente. Gli allegati vengono destrutturati al gateway dell’email, e i contenuti sospetti (come le macro e i link esterni) vengono rimossi. Poi, il documento può essere ricostruito con elementi conosciuti e sicuri, e può essere inviato al destinatario. Questo procedimento si svolge nel giro di pochi secondi, azzerando il rischio che scaturisce dai file infetti, senza però rallentare il lavoro dell’utente.
Le tecniche di advanced sandboxing (threat emulation) offrono invece il secondo elemento, agendo in parallelo alla threat extraction. Diversamente dagli antivirus e dalle altre soluzioni, non si basa sulla firma. L’advanced sandboxing ispeziona infatti i file in entrata con elementi sospetti in modo più approfondito, servendosi di molti indicatori, tra cui anche l’analisi dinamica. Inoltre, analizzando l’attività attraverso il rilevamento a livello della CPU e delle istruzioni del chipset, oltre alle applicazioni o i layer degli OS sul processore, l’advanced sandbox riesce a individuare tutte le tecniche di evasione inserite nel malware dai suoi autori, e quindi a bloccare la potenziale infezione prima che prenda piede. Questo metodo è molto efficace per rilevare gli attacchi nuovi e sconosciuti e gli exploit zero-day più sofisticati (molto meno frequenti).
I ransomware, dal 1989, si sono evoluti e proliferano, ma i loro obiettivi fondamentali sono gli stessi: impossessarsi dei dati o delle macchine delle vittime, e chiedere un riscatto per riconsegnarle. La nostra consapevolezza riguardo questi pericoli, però, non è andata di pari passo, infatti la maggior parte delle organizzazioni si basa ancora su antivirus tradizionali, che spesso non rilevano i nuovi tipi di ransomware. Per riuscire a combattere questi attacchi in continua evoluzione, anche le nostre difese devono quindi evolversi.
