I ransomware tipicamente si diffondono come trojan, dei malware worm che penetrano nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete per eseguire un payload, che cripterà, ad esempio, i file personali sull’hard disk.
Ottenere la certezza di non essere attaccati è impossibile. Esistono strumenti di prevenzione che sono attivi sul gateway o localmente nei computer e che possono contribuire ad aumentare la sicurezza, ma quando si parla di infezioni su larga scala, la prevenzione più efficace parte sempre dalla “awareness” dell’utente. Un utente consapevole ed attento ai problemi di sicurezza, infatti, è l’ultimo livello di protezione, a volte il più importante, in una infrastruttura di sicurezza e questo vale anche per i ransomware che, nati per attaccare i dati dell’utente, rappresentano ora un pericolo concreto anche per i dati aziendali.
Un computer infettato da un ransomware e connesso ad una rete, infatti, estende la cifratura dei dati a tutti i volumi connessi al computer, compresi quelli con i dati aziendali; solo corrette politiche di backup possono ripristinare il patrimonio aziendale dopo un attacco di questa tipologia. Nella maggior parte dei casi in cui si verifica un’infezione, la vittima se ne accorge solamente quando il virus si rivela e cioè, quando è ormai troppo tardi. Se il virus ha avuto modo di accedere ai volumi di rete, infatti, il danno potrebbe essere estremamente importante, in quanto, se il problema non è riconosciuto immediatamente, la perdita dei dati aziendali potrebbe risultare definitiva e non più recuperabile.
Esistono altre modalità di protezione da un attacco di questo tipo? Oltre alle misure di prevenzione è possibile arginare un attacco in atto? È possibile anche solo rendersi conto di essere attaccati per reagire con prontezza?
Massimo Turchetto, CEO & Founder di SGBox dichiara: “Il caso peggiore a cui ci si potrebbe trovare davanti è quello in cui i diversi livelli di protezione non sono stati in grado di bloccare il vettore di infezione, solitamente mail o connessione a siti web esterni, e in cui l’utente abbia involontariamente dato inizio all’infezione”.
Il comportamento del ransomware può essere riconoscibile mediante l’analisi dei log provenienti sia dal computer che sta subendo l’attacco, sia dal server le cui share sono connesse ad esso. Ogni cifratura corrisponde alla scrittura di un file e non esistono pause tra una cifratura e la successiva, in quanto le modifiche ai file provengono sempre dallo stesso utente. Nel momento in cui il virus cifra, i log riveleranno un numero insolitamente alto di “write” su file per un singolo utente. In questo caso l’infezione è appena iniziata ed è ancora possibile riconoscere il problema ed intervenire.
Per ottenere una configurazione adatta a riconoscere questo tipo di situazione è necessario attivare sui server le politiche di auditing su file e directory, abilitando in particolare il logging sugli eventi di scrittura e limitando l’audit alle directory con dati condivisi agli utenti.
Una volta ottenute le informazioni necessarie è possibile creare regole (o trigger) che avvisano del pericolo, ad esempio fissando una soglia massima di eventi di scrittura per lo stesso utente in un dato intervallo di tempo. Prima di implementare questa strategia è necessario però studiare con attenzione i dati storici per evitare di incorrere in falsi positivi, stabilendo una soglia ragionevole di scritture per utente.
Conclude Turchetto: “Un’informazione importante che si può ottenere dall’analisi dei log consiste nel conoscere quanti accessi di modifica o creazione un singolo utente ha effettuato ad esempio in 60 secondi. Questa informazione ci aiuta ad individuare la workstation che sta effettuando l’attacco così da avere la possibilità di procedere con l’immediato shutdown. Questo ci permette però di individuare anche l’utente che ha dato inizio all’attacco e di risalire al suo indirizzo di posta elettronica. Mediante l’indirizzo è possibile verificare quali sono gli indirizzi esterni da cui ha ricevuto il possibile virus o, analizzando la sua navigazione, quali siti abbia visitato. Scoperte queste informazioni, infine, è possibile risalire a tutti gli altri utenti che abbiano ricevuto mail dagli stessi mittenti o abbiano visitato gli stessi siti e prevenire eventuali nuove infezioni”.
Le attività di analisi del comportamento di un singolo evento quale la modifica di file, possono innescare contromisure e nuove analisi che, anche se non permettono di prevenire l’infezione perché si tratta di dati storici, seppure vecchi di un secondo, forniscono strumenti per contenerla e, probabilmente per limitare il danno che questo genere di malware può generare.