Come evolve il ransomware, come si reagisce

WannaCry ci ha dimostrato che il ransomware capace di autoreplicarsi può essere molto più pericoloso delle sue varianti più vecchie.

In futuro, possiamo aspettarci che la tecnica ransomware si evolva focalizzandosi sugli exploit zero-day e che il tempo che impiegherà per utilizzare attivamente una nuova vulnerabilità sarà decisamente inferiore.

In ogni caso, anche nelle sue varianti più vecchie, il ransomware è un business profittevole. E più diventa profittevole, più sofisticate e complesse potranno diventare le minacce a cui andremo incontro.

Se un gruppo di cyber criminali, infatti, si aspetta che con ransomware potrà guadagnare tra i 5 e i 10 milioni di dollari, potrà anche essere disposto a pagare 500.000 dollari per una vulnerabilità zero-day.

Un’altra possibilità, spiega Martin Zugec, Senior Architect e Technical Marketing di Citrix, è che i cyber criminali utilizzino nuovi metodi di distribuzione. Per esempio, nel caso di NotPetya, un'azienda di produzione di software finanziario ucraina è stata individuata come il punto 0, ovvero il punto dal quale è partita l'infezione, e ciò è avvenuto tramite un suo software atto all'amministrazione delle tasse.

Ridurre il tempo di decisione

Il tempo è un fattore importante nel prendere la decisione di pagare o meno. Ransomware spesso mostra sullo schermo un conto alla rovescia, cercando di forzare le persone a pagare il prima possibile. Per esempio, CryptoLocker aumenta la richiesta di riscatto fino a 10 Bitcoin dopo una determinata deadline (una somma che a gennaio 2018 era pari a circa 100.300 dollari).

Che cosa possono fare del resto gli autori di ransomware per aumentare il prezzo delle loro richieste? Mettere più pressione sul tempo.

A questo proposito, c’è una ragione per cui il ransomware è paricolarmente temuto dal settore sanitario: se consideriamo che rappresenta il 72% degli incidenti di malware, pensiamo a che cosa potrebbe succedere se colpisse la pompa dell’insulina di un paziente o, ancor peggio, prendesse il controllo di un bypass cardiopolmonare? Le conseguenze potrebbero essere tragiche.

Del resto, è naturale pensare che se sempre più aziende utilizzano l’apprendimento automatico per migliorare i loro meccanismi di difesa, chi ordisce attacchi farà lo stesso e utilizzerà il medesimo apprendimento automatico per colpire al momento giusto, puntando a causare le peggiori conseguenze.

Scegliere target di maggior valore

Il riscatto richiesto non dovrebbe naturalmente mai superare il valore del target colpito. Ma chi conduce gli attacchi può anche decidere di focalizzarsi su altri obiettivi, probabilmente di maggior valore, riducendo il numero delle infezioni ma aumentando ampiamente il riscatto richiesto.

Che cosa succederebbe per esempio se un intero edificio fosse tenuto in ostaggio chiudendo tutte le porte e impedendo l’accesso a chiunque? Che cosa accadrebbe se il ransoware iniziasse a prendere il controllo di interi sistemi industriali che potrebbero potenzialmente avvelenare un’intera città? Potremmo iniziare a vedere riscatti di milioni piuttosto che di centinaia di dollari.

Eliminare la risposta primaria

Oggi il ransomware si basa soprattutto sulla criptatura di documenti e di file, tuttavia nulla vieta che possa evolversi ulteriormente. Secondo una ricerca di MalwareBytes circa il 71% delle aziende si stanno difendendo dal ransomware più attraverso i backup che con vere e proprie strategie di difesa.

Questa però non dovrebbe essere l’unica strategia. Soprattutto, con la nascita del ransomware mobile, potremmo presto iniziare a vedere attacchi invertiti – invece di impedire l’accesso ai dati, ransomware potrebbe minacciare di renderli pubblici. Che siano dati privati ( foto, credienziali o messaggi) o aziendali (numeri di conto o email), potremmo finire per dover pagare un riscatto doppio – uno per avere accesso ai nostri file e un altro per impedire he diventino acessibili al resto del mondo.

Il backup e una strategia di recovery non saranno una protezione sufficiente contro questi nuovi attacchi e serve piuttosto un approccio proattivo.

A quando l'estinzione del ransomware?

Non possiamo aspettarci che ransomware si estingua molto presto. Se l’attuale generazione ha già un enorme potenziale per permettere agli autori di malware di estorcere soldi, quelle i future saranno ancora più pericolose.

L’educazione degli utenti finali è sempre importante e non dovrebbe essere sottovalutata, tuttavia, grazie ad attacchi sempre più sofisticati, anche gli utenti più istruiti possono finire con l’essere vittime. Per non parlare di quelli che sono stati infettati da malware che si autoreplica senza che facciano nulla.

Gli approcci difensivi attuali contro il ransomware prevedono un tipo di protezione di base – antivirus, patch, backup. E sebbene tutto ciò sia una cosa importante, dovrebbe essere considerata solo una piccola parte della strategia.

Oggi, il metodo principale per attaccare una rete è sfruttare degli utenti facendo in modo che aprano un allegato pericoloso o clicchino su un link.

Utilizzare un browser e un client email isolato e sicuro offre una buona strategia contro il ransomware.

SCARICA IL WHITEPAPER TECNICO

La seconda strategia, correlata, è quella di implementare zone di sicurezza con differenti livelli di fiducia. Con una nuova generazione di ransowmare che si autoreplica, è importante mantenere il controllo e minimizzare l’impatto, recuperando se necessario l’intero segmento aziendale.

Invece di concentrarsi soltanto sul recupero dei dati, le aziende devono capire meglio i diversi stadi della catena maligna del ransomware e applicare una strategia di difesa che agisca in profondità. Si tratta di decidere se parepararsi ora per la prossima generazione di attacchi oppure se risparmiare bitcoin per pagamenti che si potrebbero evitare.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

1 COMMENTO

  1. Non sono un esperto nel settore, ma penso che Microsoft, Apple e tutti i vari sviluppatori di sistemi GNU-UNIX dovrebbero cercare di chiudere più falle possibili, e poi dovrebbero sviluppare dei sistemi di autenticazione e blocchi a livello hardware, da dove tutto il codice eseguito passa e per determinati codici che vogliono fare modifiche tipiche dei ramsonware avvisi magari un tecnico o uno specialista ingaggiato dall’azienda stessa per chiedere la conferma. Ovviamente ci sarebbe il problema dei falsi positivi, ma con uno sviluppo accurato e con abbastanza collaborazione tra le varie aziende di sicurezza secondo me si potrebbe effettivamente rallentare se non quasi eliminare (dipende da come questo modello teorico funzionerebbe nella realtà) le minacce di ransomware almeno nei settori medici e aziendali. Se esistessero dispositivi del genere dovrebbero poi renderli disponibili all’acquisto per gli utenti, magari in formato “redux” a costi più contenuti. Prima di tutto ciò però bisogna sensibilizzare ed istruire tutti coloro che devono usare le macchine per lavoro o per utilizzo casalingo, per almeno ridurre le possibilità di attacchi.

Comments are closed.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here