Le Varianti dei Ransomware

Da anni i Ransomware assediano i nostri dati, meglio noti come Crypto-Virus o Crypto-Malware nel 2016 hanno colpito un’azienda ogni 40 secondi e gli utenti privati ogni 20. Sono state osservate oltre 60 nuove famiglie e le prospettive per il 2017 non lasciano sperare una diminuzione.

Il motivo principale è la diffusione del modello “Ransomware as-a-Service” che dà la possibilità ai Cyber-Criminali privi di competenze di hacking, di condurre attacchi avvalendosi di un servizio apposito messo a disposizione dagli Hacker veri e propri.

Tu stesso domani potresti svegliarti e decidere di acquistare tramite la rete Tor un servizio di questo tipo ed iniziare a guadagnare grazie a riscatti pagati dalle tue vittime. Molto semplice e non necessita di nessuna straordinaria capacità tecnica.

Considera poi che il valore dei riscatti è appositamente basso, una cifra lontanissima dall’ effettivo valore che i dati cifrati hanno per l’azienda colpita, questo serve per fare in modo che non ci si pensi due volte a tentare il pagamento nonostante continuino ad aumentare i casi in cui le chiavi di de-cifratura non vengono inviate.

Le famiglie e le varianti del codice di cifratura vero e proprio ormai sono innumerevoli e questo lo dobbiamo al fatto che oggi è estremamente semplice modificare l’hash di un malware conosciuto in uno nuovo e quindi non più riconoscibile come tale dall’ antivirus. Tempo stimato circa 10 secondi e questo significa che, generalizzando, per chi attacca l’antivirus non è più un problema.

Eliminato questo ostacolo all’ Hacker ne rimangono solo 2, fare in modo che al destinatario arrivi una mail nella quale sia agganciato in qualche modo il file di cifratura e che questo venga mandato in esecuzione dall’ utente.

Ecco che alle varianti del malware si aggiungono quelle del modello di Phishing utilizzato per portare a termine l’attacco e questo crea un mix esponenziale di situazioni diverse, che rappresentano il motivo principale per il quale vanno spesso ancora a segno.

La protezione infallibile non può esistere perché le diverse ricette che possono nascere da questo mix di variabili è talmente ampio che non si può pensare di prevederle tutte, oltre a questo abbiamo a che fare con degli chef estremamente fantasiosi in grado di creare innovative rielaborazioni.

 Possiamo quindi riassumere in questi punti le 3 caratteristiche che rendono unico ogni attacco Ransomware:

• Il modo con cui il codice di cifratura viene collegato alla mail, riconoscibile o meno dall’ antispam come tentativo di Phishing (es. allegato eseguibile, allegato eseguibile in archivio compresso, allegato eseguibile in archivio compresso protetto da password, allegato Office o pdf con macro, link verso url malevoli).
• Il tipo/modello di truffa messa in scena per portare l’utente ad eseguire l’azione necessaria per lanciare l’esecuzione del codice di cifratura (es. fatture Telecom e Vodafone, spedizioni corrieri SDA, conto corrente Poste).
• Il codice eseguibile di cifratura che viene lanciato, rilevabile o meno dall’antivirus come malevolo in relazione alla presenza o meno della firma nel database oppure alla capacità di eludere le verifiche comportamentali dei processi.

La combinazione di queste tre caratteristiche rende unico ogni attacco e le armi di prevenzione sono, nell’ ordine logico di intervento, antispam, formazione utente e antivirus.

Se vogliamo procedere per gradi nella valutazione della sicurezza è utile partire dalla scelta di un antispam evoluto perché è l’unica protezione che agisce sul perimetro della rete e quindi può fare in modo che la mail infetta non arrivi nemmeno sul client, anche se su quest’ ultimo operano poi un utente formato e un antivirus professionale.

Un antispam evoluto, per contrastare i Phishing nel modo più efficace possibile deve avere 4 caratteristiche:

• Un proprio anti-malware, che agisce quindi a livello perimetrale.
• Possibilità di applicare filtri precisi sui formati dei file allegati da permettere o bloccare e di applicare gli stessi controlli sui file contenuti all’ interno degli archivi compressi nonché verificare la presenza di macro al loro interno.
• Verifica di coerenza tra l’etichetta dei link contenuti nel corpo della mail e il loro effettivo indirizzo di puntamento.
• Analisi comportamentale della pagina Web linkata prima dell’accesso.

Con questa guida potrai approfondire caratteristiche e funzioni che un antispam oggi deve assolutamente avere, perchè sono necessarie e come valutare la qualità dei prodotti sul mercato.