I ransomware sono prepotentemente ritornati sulla scena dopo i casi Wannacrypt e Petya. Nell’arco di alcuni giorni il primo è riuscito ad infettare centinaia di migliaia di terminali causando non pochi problemi ad utenti privati ed aziende – abbiamo recentemente parlato delle prime stime sui cali di fatturato provocati dalle due campagne. Il secondo, rivelatosi poi un attacco “distuttivo” non finalizzato al guadagno personale degli esecutori, ha creato ugualmente disagi.
Secondo gli esperti le “qualità” migliori di Wanncrypt sono due: l’abilità di individuare autonomamente il proprio bersaglio (esegue una scansione automatica degli obiettivi in cerca di falle, non è necessaria l’interazione dell’utente) e la facoltà di estendere l’infezione prendendo di mira qualsiasi altro terminale connesso al network del sistema appena infettato. Il principio alla base dell’attacco non è nuovo: è da quando esistono i computer che gli hacker hanno sempre tentato di ampliare gli attacchi sfruttando le reti, osserva un esperto interpellato da Data Center Knowledge (DCW). Applicato ad un sofisticato payload (runtime che permette al programma malevole di compiere altre azioni oltre alla normale infezione) ha permesso agli hacker di alzare l’asticella:
“Prima [di questi attacchi, l’utente raggiunto da una email di phishing che scaricava un ransomware era l’unico ad essere colpito dall’infezione]. Ma adesso [i ransomware hanno più libertà di movimento e possono causare molti più danni]” ha aggiunto.
Data center a rischio
Chi pensa gli utenti finali siano gli unici ad essere in pericolo quindi si sbaglia, afferma DCW, che cita il recente episodio (giugno 2017) di un provider coreano di servizi hosting: l’azienda è stata colpita da una variante del ransomware Erebus che ha tenuto offline per diverse settimane i siti dei clienti. Il pagamento di un riscatto (1 milione di dollari) ha posto fine all’emergenza ma non ha consentito di recuperare i dati di tutti gli utenti – con pesanti ripercussioni sui bilanci delle aziende.
Alla domanda di rito “come preservare la sicurezza dei data center?” l’interpellato ha risposto che:
- occorre mantenere i sistemi aggiornati;
- bisogna disporre di backup (archiviati in ambienti “isolati”) che devono essere eseguiti e testati regolarmente;
- bisogna impiegare sistemi di monitoraggio per individuare attività sospette;
- non bisogna affidarsi a sistemi obsoleti (es: diverse aziende, per vari motivi, continuano ad utilizzare Windows XP e Windows Server 2003);
- è opportuno ricorrere al whitelisting – grazie al quale è possibile abilitare sul server l’esecuzione di un ristretto numero di processi/applicazioni.
Come dimostrato dalla vicenda Wannacrypt (un altro caso è quello Equifax), le aziende che hanno provveduto all’installazione degli update pubblicati a marzo 2017 (l’attacco è avvenuto a maggio) non sono state colpite dal ransomware – che sfruttava una vulnerabilità del servizio SMB (Server Message Block). Gli aggiornamenti sono cruciali perchè negli ultimi mesi gli attacchi più eclatanti non si sono appoggiati ad exploit zero day (falle fino a quel momento sconosciute persino agli sviluppatori di un dato software etc.): “Chi ha aggiornato immediatamente si è messo al sicuro da Wannacrypt”.
Le aziende, ammette l’esperto, hanno finestre temporali sempre più limitate per effettuare gli update. E’ per questo che suggerisce di automatizzare il più possibile le procedure: “un gruppo di [addetti] che installano e testano manualmente le patch non [è più un’opzione fattibile]”.
Minaccia in continua evoluzione
Gli attacchi diventano sempre più sofisticati e le misure di sicurezza cercano di essere all’altezza della situazione – una sfida perenne nella quale l’inseguito può diventare a sua volta inseguitore. La rapida evoluzione delle minacce ha reso tuttavia obsolete e parzialmente inefficaci alcune soluzioni come ad esempio quelle basate sulle classiche “definizioni” – liste in cui sono riportati tutti gli “elementi” malevoli da bloccare. Considerando che ogni giorno giungono sulla rete migliaia di virus (sia inediti che varianti) è chiaro come sia impossibile, anche per un avanzato software antivirus, bloccare ogni minaccia.
I servizi che si occupano di monitorare i siti ed individuare attività sospette tengono invece campo ma dovrebbero essere affiancati ad altre tecnologie come gli honeypots ed i malware exploders. Di cosa si tratta esattamente?
I primi, utilizzati anche dalle compagnie di sicurezza e dai vendor di software, sono delle “esche” lanciate in Rete per attirare l’attenzione di minacce che potrebbe passare altrimenti inosservate. I secondi sono forse più conosciuti con il termine sandbox, ambienti virtuali nei quali processi/applicazioni sospette sono confinati per verificarne l’attendibilità – va però ricordato che diversi malware sono in grado di distinguere un ambiente “genuino” da uno “virtuale” restando inerti o autodistruggendosi a seconda della situazione.
Fonte: 1