Se ti occupi di mantenere in salute i sistemi IT dei tuoi clienti, allora solo a sentire la parola ransomware dovresti drizzare le antenne.
E se invece pensi di poter stare tranquillo… allora ti consiglio io di drizzarle per davvero.
Sto parlando di una tipologia di malware molto pericolosa e che, se per caso dovesse bersagliare i sistemi IT di un tuo cliente, ti procurerebbe non poche grane da risolvere.
Il motivo? Un ransomware quando colpisce blocca il PC del malcapitato cifrandone tutti i dati e proibisce all’utente di accedervi fino a quanto non si corrisponde il pagamento di un riscatto, solitamente in Bitcoin o altra criptovaluta.
In genere questo tipo di attacchi viene sferrato attraverso email infette da virus e, in teoria, i sistemi di protezione come gli antivirus dovrebbero essere in grado di eseguire una scansione di analisi per determinare se i file contenuti nel messaggio di posta siano affidabili o meno.
Ma tutto ciò dipende da un database in cui le minacce note, chiamate firme, vengono precedentemente archiviate secondo determinati criteri di riconoscimento.
Se un file possiede alcuni requisiti, è buono, se ne possiede degli altri allora è cattivo ed entra in black list.
È un po’ come se prima di un colloquio di lavoro, al candidato venisse fatta una “preselezione all’ingresso”.
Fino a qui, bene. Ora arrivo al problema.
I cyber criminali di oggi non si fanno fregare facilmente e sono ben consapevoli di come funzionano le soluzioni di protezione a disposizione sul mercato.
Mentre stiamo parlando qualcuno di questi soggetti starà già sicuramente progettato un nuovo malware che di certo non verrà mai rilevato.
Ecco perché questa tipologia di minacce viene chiamata FUD (Fully UnDetectable).
Le tecniche
Se ti stai chiedendo come sia possibile riuscire a creare virus impossibili da identificare, ora lo vediamo subito.
Prima di tutto vengono usati dei cryptor per crittografare i malware in modo da rendere la scansione di un antivirus totalmente inoffensiva. Oltre a questo, il file in questione diventa univoco e quindi non potrà mai esistere all’interno di un database composto di sole minacce note.
Un’altra tecnica consiste nel scansionare preventivamente il proprio malware con programmi come VirusTotal. I Cyber criminali creano migliaia di copie uniche e casuali e solo quelle che aggirano i sistemi di protezione vengono salvate e poi utilizzate.
Oltre a questi i cyber criminali si servono di tecniche fileless o sfruttano vulnerabilità zero- day.
Senza contare che il numero degli attacchi poi aggrava ulteriormente il problema.
Alcuni esperti stimano che ogni giorno vengono rilasciati più di 1 milione di nuovi malware, detto in altre parole, 12 al secondo!
Più diventano numerosi i malware, più diventano pesanti gli aggiornamenti delle firme degli antivirus.
Per far fronte a ciò e “liberare spazio” molti fornitori di soluzioni antivirus hanno da tempo pensato di rimuovere le firme per i file malware più obsoleti.
Ma così facendo, hanno spianato la strada ai cyber criminali i quali hanno pensato bene di tornare a rilasciare nuovamente i virus più datati dato che non possono più essere rilevati.
Un'altra conseguenza che ne deriva è che i fornitori di soluzioni antivirus aumentano in maniera significativa la frequenza di rilascio di aggiornamenti.
Basti pensare che negli anni ’80 venivano rilasciati aggiornamenti una volta al mese mentre oggi si arriva ad averne più volte al giorno!
I ransomware
Nonostante sia possibile aggiornare velocemente e di continuo il proprio antivirus, rimane lampante il ritardo con il quale i fornitori delle soluzioni di protezione riescono a individuare le nuove minacce per classificarle e aggiungerle al proprio database.
La forbice temporale media di ritardo si aggira tra le 4 e 48 ore ed è giusto il tempo necessario affinchè un malware possa aggirare le barriere protettive e infettare il dispositivo preso di mira.
Per i comuni virus questo ritardo potrebbe essere gestibile.
Se parliamo invece di ransomware il pericolo non è contenibile perché non appena questo arriva a destinazione inizia a crittografare tutti i file contenuti.
Anche se l’antivirus riuscisse poi a rilevarlo e rimuoverlo, sarebbe troppo tardi per rimediare al danno fatto.
La soluzione
Scenario infernale vero?
E se ti dicessi che esiste LA soluzione a tutto ciò?
O meglio, se ti dicessi che recuperare istantaneamente i dati corrotti da ransomware, anche se non si dispone di un backup, è possibile?
Prova a dare un’occhiata qui! Secondo me non crederai ai tuoi occhi…
Tratto dal blog di Neushield Data Sentinel
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. Stimato da colleghi e clienti per la schiettezza e l’onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.