Che il ransomware sia una della piaghe più devastati per la cybersicurezza è ormai un dato di fatto, lo abbiamo visto negli ultimi mesi con migliaia di attacchi in tutto il mondo che hanno ottenuto alte percentuali di successo. Ovviamente chi si occupa di cybersicurezza non è stato a guardare: sono state implementate nuove tecniche per contrastare gli attacchi e si è puntato sui corsi di formazione per rendere più consapevole il personale di quelli che sono i reali pericoli della rete, in particolare per il phishing che risulta ancora il vettore più usato per infettare server e computer con malware ransomware.
I nuovi sistemi DLP (Data Loss Prevention), i controlli di sicurezza gestiti dagli EDR (Endpoint Detection and Response) con allarmi sempre più sensibili e sofisticati permettono frequentemente di individuare gli attacchi ransomware prima che la procedura di cripitazione dei dati venga portata a termine, vanificando così l’azione d’attacco. La cripitazione dei file con il relativo blocco dell’infrastruttura è fondamentale per poter avanzare una richiesta di riscatto ma è anche una procedura lunga da eseguire, in particolare se l’azienda o l’ente attaccato dispongono di archivi di dati di grandi dimensioni.
Per contrastare questo problema, i collettivi di cybercriminali stanno adottando delle tecniche con nuove tipologie di attacco più insidiose e rapide chiamate Quick Ransomware. I malware vengono modificati in modo da renderne più veloce il blocco dei dati: in pratica vengono usati quelli che in gergo sono chiamati “sistemi di crittografia intermittente” che, oltre a essere più difficili da individuare, agiscono su determinate sequenze di dati bloccandone solo le parti essenziali.
Il risultato di questa tecnica è che in fase di attacco viene bloccata solo una sezione dei file, rendendoli comunque illeggibili, in modo da poter chiedere il riscatto per fornire la chiave di sblocco. Questa tecnica, all’apparenza meno efficace di quella classica, ha però il grande vantaggio di essere estremamente veloce: secondo gli esperti dei Sentinel LABS, che per primi l’hanno individuata, per bloccare un archivio di medie dimensioni sono necessari poco più di 2 minuti. Inoltre, il pericolo maggiore della crittografia parziale è che l’azione è così veloce da renderne difficile l’individuazione con l’impossibilità di bloccare l’attacco. Gli attuali sistemi di rilevamento del ransomware nella maggiore parte dei casi utilizzano l’analisi statistica per rilevare l’azione del malware valutando il carico di lavoro sui server e le operazioni I/O sui file. La crittografia intermittente aiuta a eludere tali analisi proprio per il basso carico di lavoro richiesto. I primi esempi di Quick Ransomware sono apparsi nel 2021 con il malware LockFile che crittografa solo 16 byte di un file, ma la nuova tendenza è letteralmente esplosa nell’agosto del 2022 quando nel Dark Web è iniziata la distribuzione (a costi relativamente bassi) del ransomware Qyick, venduto (in versione personalizzata) per un valore in Bitcoin di circa 33.000 €. In caso di problemi (se il malware viene rilevato dai sistemi di sicurezza) il “venditore” si impegna anche a fornire una nuova versione del software con uno sconto compreso tra il 60% e l’80% del prezzo originale.
Sistemi di difesa
Questo significa che queste nuove tipologie di attacco hanno vanificato qualsiasi linea di difesa? Assolutamente no, hanno solo reso più pericolosa la situazione. HyperGrid è in grado di fornire difese allo stato dell’arte, come per esempio il DLP HyperGrid in grado di analizzare le informazioni che passano nell’infrastruttura spostando la sicurezza dal perimetro della rete ai dati in transito fuori e dentro i dispositivi. Il Data Loss Prevention è una sentinella che monitora il transito dei dati e gli input in entrata e in uscita bloccando quelli considerati pericolosi. Ci sono poi i sistemi EDR (Endpoint Detection and Response) che con sensibili sistemi di allarme automatici ad alta reattività forniscono un’efficace barriera di difesa contro i cybercriminali.
Lo abbiamo già ribadito molte volte: quello che mette le aziende al sicuro dall’estorsione e garantisce una ripresa veloce delle attività produttive è il backup dei dati eseguito in modo sicuro e criptato su server esterni. HyperGrid fornisce yCloud Backup un servizio che viene gestito nella totale sicurezza della rete ridondata sull’infrastruttura dell’azienda, che ha ottenuto la certificazione AGID come CSP, indispensabile per lavorare anche con le pubbliche amministrazioni. Essendo eseguiti su server esterni i backup sono virtualmente inattaccabili dal ransomware e il team di esperti dell’azienda potrà ripristinare i dati aziendali nel più breve tempo possibile limitando i danni ed eventuali blocchi di produzione. yCloud Backup è configurabile in base alle esigenze dei clienti e può essere esteso ai computer che lavorano in remoto, caratteristica davvero importante in tempi di smart working.
Ricordiamo poi che l’intera infrastruttura HyperGrid è gestita e controllata in loco senza appoggiarsi a datacenter esterni. yCloud Backup funziona anche su reti miste e l’azienda fornisce gratuitamente gli agent per eseguire l’impostazione su computer equipaggiati con diversi sistemi operativi tra cui Windows, macOS e Linux.
Per informazioni contattateci all’indirizzo info@hypergrid.it o al numero di telefono 0382 528875
Per saperne di più sull’interessante analisi dei Sentinel LABS è possibile cliccare a questo link.
Devi effettuare l'accesso per postare un commento.