Si definisce ransomware qualsiasi malware (software pericoloso) usato da criminali per bloccare i file su smartphone, computer o altri dispositivi a scopo di estorsione, richiedendo un pagamento per consentire all’utente di utilizzarli nuovamente. I ransomware sono diventati un metodo molto diffuso con cui gli autori di malware tentano di estorcere denaro agli utenti. Il malware si diffonde usando diverse tecniche, come il phishing o le vulnerabilità dei software.
ESET® classifica la maggior parte del malware che usa tattiche ransomware con il nome di “Filecoder”. Tale malware codifica determinati file, quindi chiede alla vittima di pagare un riscatto per ottenere la chiave di decodifica. A volte il ransomware contiene un timer che limita il tempo concesso alla vittima per completare il pagamento. Una volta che il pagamento è stato inviato e verificato, il programma il più delle volte decodifica i file. Se il pagamento non viene effettuato, la vittima potrebbe perdere i file e i dati in essi contenuti.
1. Come si diffondono i ransomware
I ransomware si sono diffusi nel mondo grazie ad attacchi su larga scala. Il tipico vettore di infezione usato in queste campagne è un’email con un allegato pericoloso — una tattica nota come phishing. Questo messaggio può essere personalizzato in relazione al paese della vittima. Per esempio, se una vittima vive in Italia, sarà inviata una falsa mail per la tracciabilità di una spedizione apparentemente inviata da Poste Italiane o da un corriere noto. La posizione della potenziale vittima può essere determinata dal dominio usato nell’indirizzo email del destinatario, o dall’ISP che ospita il dominio. Se il destinatario cade vittima di questa strategia di ingegneria sociale e apre l’allegato, sul computer potrebbe essere eseguito un trojan, a meno ovviamente di interventi da parte dell’antivirus. In recenti casi il trojan è un downloader che riceve e poi esegue il ransomware. Il malware quindi cerca un lungo elenco di tipi di file da criptare – e una volta completata l’operazione illecita, mostra un messaggio che richiede all’utente di trasferire in maniera telematica del denaro per poter decodificare i file.
2. Rilevazione ESET
Prima di diffondere i loro malware, gli autori di solito verificano che i campioni non siano rilevati dai classici metodi di identificazione statica, usati dalla maggior parte dei software antivirus. Pertanto, la protezione dell’utente dovrà avere un approccio multi-livello, con tecnologie studiate per rilevare proattivamente i comportamenti pericolosi e con soluzioni basate sul Cloud.
Le soluzioni antimalware ESET garantiscono diversi livelli di sicurezza proattiva, incluse tecnologie euristiche. In tutti i casi, l’antivirus deve essere aggiornato con le ultime firme antivirali e Live Grid®, il servizio Cloud per la reputazione dei file di ESET, deve essere abilitato per migliorare i tempi di reazione e assicurare la massima protezione. Si raccomanda anche di usare le ultime versioni del software per poter sfruttare la protezione fornita dall’Exploit Blocker, dallo Scanner di Memoria Avanzato e delle altre tecnologie in grado di rilevare le minacce nelle diverse fasi di esecuzione.
Ovviamente i software antimalware non sono in grado di sostituirsi ad altre attività critiche di protezione, come ad esempio mantenere aggiornate tutte le applicazioni del sistema, effettuare dei backup periodici, seguire una linea di condotta adeguata ed educare gli utenti a evitare attacchi di ingegneria sociale.
Per assicurarsi che i prodotti di sicurezza ESET siano correttamente configurati, seguire quanto riportato:
A. Aggiornare il prodotto ESET
Nuove versioni di ransomware vengono rilasciate frequentemente, è importante quindi che i computer ricevano regolarmente gli aggiornamenti antivirus per assicurarsi di non essere vulnerabili a queste infezioni. I prodotti ESET verificano la presenza degli aggiornamenti ogni ora, se forniti di una licenza valida e di una connessione a Internet.
B. Abilitare lo Scanner di Memoria Avanzato e l’Exploit Blocker
Queste nuove tecnologie progettate da ESET migliorano la protezione dai malware che usano tecniche di offuscamento crittografico per non essere rilevati. Lo scanner di memoria avanzato controlla i comportamenti sospetti dei malware quando tentano di caricarsi in memoria, mentre l’Exploit Blocker verifica i processi cercando i tipici comportamenti degli exploit.
C. Abilitare Live Grid
In alcuni casi, i prodotti ESET con ESET Live Grid abilitato possono rispondere più velocemente alle nuove minacce rispetto alla rilevazione basata su firme antivirali, persino quando i database antivirus vengono aggiornati in maniera regolare.
3. Prevenzione e protezione
I file criptati possono essere considerati come danneggiati in maniera irreparabile. Si raccomanda di seguire quanto riportato per ridurre al minimo l’impatto che i ransomware possono avere sul sistema e sui dati ivi contenuti. Se il sistema è stato adeguatamente preparato e messo in sicurezza, il rischio di perdere i dati si riduce in modo significativo.
A. Back up dei dati
La strategia di base ed essenziale per difendersi dai malware è avere un backup costantemente aggiornato. Occorre ricordare che un ransomware codificherà anche i file sui dischi di rete a cui si è assegnata una lettera e a volte anche quelli a cui non è stata assegnata. Ciò include qualsiasi drive come quelli USB, come anche ogni archivio di rete o nel Cloud. Quindi è fondamentale un regime di backup periodico che sia basato su dispositivi che non siano costantemente connessi alla rete.
B. Mostrare le estensioni nascoste dei file
Spesso un ransomware arriva in un file con estensione “.PDF.EXE”. Ciò sfrutta il comportamento predefinito di Windows in cui le estensioni note dei file sono nascoste. Ripristinando la capacità di vedere le estensioni dei file sarà più facile notare i file sospetti.
C. Filtrare i file EXE nelle email
Se il vostro scanner mail sul gateway ha la capacità di filtrare i file per estensione, potreste bloccare le email che abbiano come allegato file “.EXE”, o quelle che presentano allegati con doppia estensione di cui l’ultima eseguibile (file “*.*.EXE”, definiti nel filtro). Se gli utenti aziendali dovessero avere bisogno di scambiare legittimamente file eseguibili, potranno farlo con archivi .ZIP protetti da password o per mezzo dei servizi in Cloud.
D. Non aprire allegati o fare clic su link presenti in email o messaggi inattesi
Un classico metodo di infezione è quando un utente apre l’allegato di una mail non attesa o quando fa clic su un link contenuto in una mail che sembra provenire da una banca o da un servizio di recapiti. Gli utenti dovrebbero essere istruiti a non aprire allegati, link o file contenuti in email sospette o provenienti da contatti sconosciuti.
E. Disabilitare l’esecuzione dei file contenuti nelle cartelle AppData/LocalAppData
Un particolare comportamento di alcuni ransomware è avviare i file eseguibili dalle cartelle AppData o Local AppData. Potrete creare delle regole in Windows o nel software anti intrusione da voi utilizzato per bloccare tali comportamenti. Se per alcune ragioni dei software legittimi vengono eseguiti dalla cartella AppData piuttosto che dalla solita area Program Files, vi basterà escluderli da questa regola.
F. Disabilitare RDP
I malware Cryptolocker/Filecoder spesso accedono alle macchine delle vittime usando il protocollo di Desktop Remoto (RDP), uno strumento Windows che consente ad altri di accedere da remoto ai desktop. I cybercriminali sanno bene come autenticarsi attraverso una sessione RDP e quindi disabilitare il software di sicurezza. I software di sicurezza ESET includono strumenti di autoprotezione per difendersi, ma la prassi migliore è disabilitare l’RDP a meno che non se ne abbia necessità. Per le istruzioni su come disabilitare questa funzione potrete leggere i relativi articoli della Knowledge Base di Microsoft.
G. Aggiornare tutti i software
Gli autori di malware sfruttano spesso le vulnerabilità note di alcuni
software, solitamente usati da utenti che purtroppo non li tengono aggiornati. Potrete ridurre in maniera significativa il rischio legato ai ransomware aggiornando spesso i vostri software. Alcuni produttori rilasciano regolarmente aggiornamenti di sicurezza (Microsoft e Adobe li rilasciano ogni secondo martedì del mese), ma talvolta vi sono aggiornamenti “eccezionali” o non pianificati, se possibile rendeteli automatici o andate direttamente sui siti dei produttori.
H. Utilizzare una suite di sicurezza affidabile
Gli autori di malware diffondono frequentemente nuove varianti per evitare la rilevazione, questo è il motivo per cui è molto importante avere molteplici livelli di protezione. Persino dopo aver infettato il sistema molti malware attendono istruzioni da remoto per avviare le loro attività malevole. Se si è stati colpiti da una variante di ransomware così nuova da aver superato le difese dell’antimalware, potrebbe essere possibile intercettarlo quando tenta di ricevere informazioni dal suo server di comando e controllo (C&C) per la codifica dei file. L’ultima suite dei software ESET fornisce un modulo di protezione botnet che blocca il traffico pericoloso intercettando le comunicazioni ai server C&C.
I. Utilizzare il ripristino di sistema per tornare all’ultimo stato pulito conosciuto
Se su Windows avete abilitato il ripristino di sistema, potrebbe essere
possibile tornare a uno stato precedente non infetto e ripristinare i file codificati dalle loro copie “Shadow”. Ma bisogna muoversi velocemente, perché i nuovi ransomware hanno la capacità di eliminare i file “Shadow” dal ripristino di sistema. Questi malware inizieranno a eliminare i file “Shadow” al primo avvio, e l’utente potrebbe addirittura non rendersi conto di quanto accade visto che gli eseguibili possono essere avviati senza l’intervento dell’operatore, come un qualsiasi processo di sistema.
J. Utilizzare un account standard invece di uno amministratore
Utilizzare un account con privilegi di amministratore di sistema è sempre un rischio per la sicurezza, perché così il malware può avviarsi usando i medesimi privilegi e infettare il sistema più facilmente. Assicurarsi che gli utenti usino sempre un account con privilegi limitati per le attività quotidiane e utilizzare l’account amministratore solo quando è assolutamente necessario. Non disabilitare il controllo account utente.
K. Porre attenzione alla formazione dei dipendenti sulla sicurezza
Uno dei più comuni vettori di infezione è l’ingegneria sociale – metodi basati sull’inganno per tentare di convincere gli utenti ad avviare file eseguibili. La corretta formazione dei dipendenti rappresenta un pilastro della sicurezza aziendale.
Lascia un commento