Florian Malecki, International product marketing director di SonicWall, evidenzia l’importante attività di blocco svolta dagli apparati NGFW per contrastare i ransomware.
Il ransomware è una forma avanzata di malware che tenta di far sì che gli utenti paghino un riscatto al fine di poter accedere al loro dispositivo o file. La versione più semplice piazza un’immagine sullo schermo sostenendo che l’utente ha scaricato contenuti illegali o sta utilizzando software piratato e richiede il pagamento di una multa per evitare l’arresto. Altre versioni come Cryptowall o Cryptolocker cifrano tutti i file di un computer e chiedono un pagamento in cambio della chiave per decifrare i documenti. In alcuni casi non offrendo quanto promesso. Entrato in scena nel 2005 come minaccia proveniente dall’est europeo, ha ormai assunto le dimensioni di un attacco globale.
Per mettere il ransomware in prospettiva, diamo un’occhiata alle realtà che sono già state colpite. La maggior parte delle imprese non riporta questi attacchi, ma alcune lo hanno fatto. Gli autori del ransomware stanno raccogliendo i loro frutti e questo li sprona a continuare. Inviano il loro codice per email, lo mascherano all’interno di file e lo mettono su internet attirando gli utenti con contenuti gratuiti che potrebbero costare molte a un’azienda.
Le organizzazioni di sicurezza stanno lavorando senza sosta per limitare questi attacchi tramite lo sviluppo di meccanismi che bloccano la cifratura non autorizzata così come la creazione di signature in grado di fermare attacchi noti per questo tipo di malware.
Nell’immagine si vede che i firewall next-generation di SonicWall hanno bloccato quasi 90 milioni di tentativi di ransomware nel maggio 2016. Queste statistiche sono il risultato di centinaia di signature ransomware che hanno bloccato attivamente questo attacco. Quindi, perché dopo così tanti anni di lotta il ransomware è ancora un problema? Con un tale tasso di successo da parte dei vendor di sicurezza, perché i malintenzionati non hanno ancora rinunciato?
Nonostante i successi, è importante ricordare che le signature funzionano solo per le cose che conosciamo. Conosciamo le diverse varianti di Locky, Tescrypt, Crowti, e altri, ma questi evolvono e cambiano per evitare le difese delle tecnologie di sicurezza. La mission di un vendor di firewall è quella di creare rapidamente nuove signature per tutte le varianti di ransomware prima che nuove iterazioni possono colpire le aziende.