Aggiornamenti recenti Marzo 23rd, 2023 5:14 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La spesa per la sicurezza IT in Europa crescerà del 10%
- Un nuovo Fraud Prevention Center per Poste Italiane
- Kaspersky svela un Apt attivo nell’area del conflitto russo-ucraino
- Google scopre 18 vulnerabilità nei chipset mobile Samsung Exynos
- Kaspersky aggiorna il decryptor per il ransomware Conti
ESET: tolleranza zero per i ransomware. Ecco come funziona il sistema di rilevamento.
La società di sicurezza slovacca integra nei suoi software un modulo anti-ransomware. “Analizziamo tutti i processi che usano la crittografia”.
Come fermare l’ondata di ransomware che si sta abbattendo sui computer di mezzo mondo? È un problema che tutte le società di sicurezza si stanno ponendo ma per cui la risposte non sono ancora omogenee.
Per il momento abbiamo assistito a soluzioni che hanno adottato approcci molto diversi tra loro. C’è chi ha utilizzato sistemi di backup “continuo” per consentire il recupero dei file in caso di attacco e chi, come BitDefender, ha invece scelto di sfruttare le caratteristiche dei malware per “ingannarli”.
I primi hanno un impatto piuttosto pesante sulle prestazioni dei computer. Dover duplicare ogni cambiamento risulta un compito gravoso che rallenta molte delle operazioni quotidiane, soprattutto su sistemi di fascia bassa. Il secondo sistema, basato sul monitoraggio di alcuni file “esca” sul disco è efficace, ma sembra che stiano arrivando delle contromisure da parte dei criminali.
Anche contro il ransomware, la protezione arriva dal Cloud
ESET ha scelto un approccio diverso, e nella sua nuova linea di prodotti per il 2018 ha introdotto uno strumento anti-ransomware specifico basato sull’analisi in cloud.
“Quello che abbiamo introdotto è un sistema che controlla tutti i programmi e i processi di crittografia” – spiega Massimiliano Ghelli, Technical Support Specialist di ESET. “Nel momento in cui viene rilevata un’attività di questo tipo, il software ESET avvia una verifica per capire se si tratti di un’’applicazione legittima o di un ransomware”.
Un sistema molto simile a quello usato per i normali malware, quindi, basato sul comportamento per poi incrociare quello sulle “firme”: “L’applicazione o il processo individuato viene confrontato con un database accessibile attraverso il servizio cloud ESET Live Grid per verificarne la reputazione” – spiega Ghelli.
Ancora una volta la soluzione arriva dalla cloud, che consente di controllare la reputazione del processo attivo e verificare se sia legittimo o pericoloso.
Il risultato della verifica può provocare tre reazioni da parte del sistema di sicurezza. Se l’applicazione è legittima, l’antivirus le concede il via libera; nel caso si tratti di un ransomware conosciuto viene immediatamente bloccato. Il terzo caso, lascia la palla nelle mani dell’utente. Se il processo non è tra quelli conosciuti, viene sospeso e il software di sicurezza visualizza un messaggio lasciando all’utente il compito di scegliere come reagire.
Efficace contro le tecniche di offuscamento più avanzate.
“Questo approccio consente di risolvere una serie di problemi” spiega Ghelli. “Prima di tutto, usando un sistema di rilevamento di questo tipo ci si sgancia dall’uso classico delle signature, che in questi casi non sono affidabili. I pirati informatici usano infatti diversi accorgimenti per impedire l’analisi in sandbox dei loro ransomware e la conseguente creazione delle definizioni per individuarli”.
In secondo luogo, spiega il Technical Support Specialist di ESET, il sistema blocca la crittografia dei file anche nel caso in cui la macchina dovesse essere già infetta. E non si tratta di un dettaglio: in passato, infatti, i ricercatori hanno rilevato molto spesso casi in cui i pirati informatici hanno utilizzato un trojan per avviare la crittografia dei dati.
Infine, sfruttando l’analisi dei processi invece che quella dei file, il sistema è efficace anche negli attacchi “fileless”, ovvero con codice scaricato direttamente in memoria senza arrivare sul disco.
Il processo di criptazione del file non viene bloccato in attesa del responso dalla cloud ma i rischi legati a questo tipo di approccio “reattivo” sarebbero minimi: secondo Ghelli i test di ESET hanno evidenziato che in caso di attacco il blocco avverrebbe in tempi brevissimi e un eventuale ransomware riuscirebbe al massimo a crittografare uno o due file prima di essere fermato.
Un sacrificio tutto sommato accettabile, considerato che l’alternativa è quella di rischiare il “rapimento” di tutti i documenti presenti sul computer. Il modulo anti-malware è inserito in tutti i prodotti ESET (NOD32 Antivirus, Internet Security e Smart Security Premium).
E contro Petya o NotPetya?
La legittima domanda su cosa accade con i ransomware che invece di girare sotto il sistema operativo decidono di lanciarsi come primo programma al riavvio della macchina è fuorviante. In quel caso, infatti, la protezione del computer è demandata al resto della suite di sicurezza.
“Perché un ransomware” – dice Ghelli – “possa essere lanciato al riavvio, prima che il sistema operativo venga avviato, serve che un malware riesca a bypassare tutti i controlli a strati che una suite di sicurezza mette in opera. In pratica, la protezione contro questo tipo di malware è la stessa che viene messa in opera contro i rootkit e siamo ovviamente molto attenti a quel tipo di minacce.”
Condividi l'articolo
Usate WordPress? Aggiornate di corsa alla 4.8.3!
Lo smartphone recita il rosario, ma ti prosciuga batteria e traffico dati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I rischi del lavoro remoto preoccupano le aziende L’affermazione del lavoro ibrido e remoto ha... -
Gli attacchi BEC sono sempre più veloci Il team Security Intelligence di Microsoft ha recentemente... -
Le minacce più diffuse in EMEA secondo Akamai Akamai ha pubblicato un nuovo report della serie State of... -
NIS2: le imprese europee devono adattarsi a nuovi requisiti... Nuove regolamentazioni all’orizzonte: dopo il GDPR,... -
Ogni riscatto ransomware pagato finanzia altri 9 attacchi Trend Micro ha diffuso i risultati della nuova ricerca What...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
La spesa per la sicurezza IT in Europa crescerà del 10% IDC ha pubblicato la nuova edizione della Worldwide... -
Un nuovo Fraud Prevention Center per Poste Italiane Poste Italiane ha inaugurato un nuovo Fraud Prevention... -
Google scopre 18 vulnerabilità nei chipset mobile Samsung... I ricercatori di sicurezza di Google hanno individuato e... -
Kaspersky aggiorna il decryptor per il ransomware Conti Kaspersky ha pubblicato un aggiornamento per il decryptor... -
Il ransomware mette nel mirino le infrastrutture critiche L’FBI americano ha pubblicato il nuovo Internet Crime...
Ransomware: la serie
No posts found.
