Per determinare se un malware sia identificato o meno occorrono tecnologie di rilevamento euristiche non misurabili con Virustotal

Virustotal

Per anni, Virustotal è stato uno strumento imprescindibile per chi avesse a che fare con i malware a livello professionale.

La piattaforma consente di caricare rapidamente un file o utilizzare un valore hash per verificare se i motori di scansione degli antivirus già rilevano i malware più attuali. Allo stesso modo, Virustotal viene anche utilizzato dai media per verificare se esiste una protezione antivirus efficace contro eventuali campagne malware in circolazione.

Tuttavia, e soprattutto quando ci si confronta con attacchi repentini e di breve durata, il servizio presenta spesso un quadro inesatto: nei primi giorni della diffusione di nuovi software dannosi – come nel caso della campagna ransomware ai danni dei dipartimenti delle risorse umane con GandCrab – il malware viene rilevato dai programmi antivirus della maggior parte delle società di sicurezza attraverso tecnologie di rilevamento euristico e tramite confronto dei valori hash dei file con i servizi cloud dei rispettivi produttori. Virustotal mostra però solo il “classico” riconoscimento dei malware, basato sulle firme.

Detto questo, “Virus Total è un buon indicatore generale del tasso di rilevamento dei malware, ma è inadatto a determinare se un malware in circolazione proprio in questo momento sia identificato o meno”, afferma Ralf Benzmüller, Executive Speaker dei G DATA Security Labs.

Mentre quindi la panoramica Virustotal – prendendo ad esempio la campagna GandCrab – indicava anche che solo pochi produttori erano in grado di riconoscere i campioni forniti come dannosi, G DATA e certamente altri produttori sono stati in grado di prevenire con successo le infezioni. “Grazie alla nostra tecnologia Filecloud e ad altre tecnologie NGAV (next generation Antivirus), rispondiamo rapidamente alle nuove campagne malware. In alcuni dei casi più recenti ad esempio abbiamo bloccato l’11,6% dei tentativi di infezione solo con questi strumenti”, afferma Thomas Siebert, responsabile delle tecnologie di protezione di G DATA.

Software antivirus: da tempo più che solo semplici signature

L’industria antivirus ha vissuto un’enorme evoluzione negli ultimi 20 anni. Poiché i campioni di malware vengono modificati a ritmi sempre più serrati per evitarne il rilevamento, quasi tutti i produttori si affidano a componenti antivirus di prossima generazione. “Noi impieghiamo il Filecloud precedentemente menzionato per bloccare eventuali campioni sospetti molto più velocemente che tramite meri aggiornamenti delle firme, ma Filecloud è solo una parte del nostro sistema di apprendimento automatico” commenta Siebert. Ne fa parte anche la tecnologia anti-ransomware sviluppata da G DATA, che protegge gli utenti in modo affidabile contro la cifratura del disco rigido. Per l’utenza privata, questo componente è attivato di fabbrica, i clienti aziendali invece ne possono beneficiare – se lo desiderano – attivando manualmente la funzione inclusa nelle suite Business G DATA. “Una scelta che non possiamo che raccomandare”, conclude Siebert.

Questa tecnologia monitora in background se vengono attivati comandi sospetti come una cifratura di massa dei file senza alcun ordine preciso da parte dell’utente. “Oltre ad essere un ottimo strumento per la protezione degli utenti, la tecnologia anti-ransomware rappresenta per noi un sistema di allarme precoce”, afferma Sana. “Ci consente infatti di bloccare a priori eventuali azioni di danneggiamento da parte di software non riconosciuti e di guadagnare tempo per condurre le analisi necessarie a fornire un’ampia protezione per tutti gli utenti.”