Antivirus e sicurezza

L’antivirus non intercetta i malware? Scopri come gestire i Fully UnDetectable

26 Maggio 2020

Se ti occupi di mantenere in salute i sistemi IT dei tuoi clienti, allora solo a sentire la parola ransomware dovresti drizzare le antenne.

E se invece pensi di poter stare tranquillo… allora ti consiglio io di drizzarle per davvero.

Sto parlando di una tipologia di malware molto pericolosa e che, se per caso dovesse bersagliare i sistemi IT di un tuo cliente, ti procurerebbe non poche grane da risolvere.

Il motivo? Un ransomware quando colpisce blocca il PC del malcapitato cifrandone tutti i dati e proibisce all’utente di accedervi fino a quanto non si corrisponde il pagamento di un riscatto, solitamente in Bitcoin o altra criptovaluta.

In genere questo tipo di attacchi viene sferrato attraverso email infette da virus e, in teoria, i sistemi di protezione come gli antivirus dovrebbero essere in grado di eseguire una scansione di analisi per determinare se i file contenuti nel messaggio di posta siano affidabili o meno.

Ma tutto ciò dipende da un database in cui le minacce note, chiamate firme, vengono precedentemente archiviate secondo determinati criteri di riconoscimento.

Se un file possiede alcuni requisiti, è buono, se ne possiede degli altri allora è cattivo ed entra in black list.

È un po’ come se prima di un colloquio di lavoro, al candidato venisse fatta una “preselezione all’ingresso”.

Fino a qui, bene. Ora arrivo al problema.

I cyber criminali di oggi non si fanno fregare facilmente e sono ben consapevoli di come funzionano le soluzioni di protezione a disposizione sul mercato.

Mentre stiamo parlando qualcuno di questi soggetti starà già sicuramente progettato un nuovo malware che di certo non verrà mai rilevato.

Ecco perché questa tipologia di minacce viene chiamata FUD (Fully UnDetectable).

 

datasentinel

 

Le tecniche

Se ti stai chiedendo come sia possibile riuscire a creare virus impossibili da identificare, ora lo vediamo subito.

Prima di tutto vengono usati dei cryptor per crittografare i malware in modo da rendere la scansione di un antivirus totalmente inoffensiva. Oltre a questo, il file in questione diventa univoco e quindi non potrà mai esistere all’interno di un database composto di sole minacce note.

Un’altra tecnica consiste nel scansionare preventivamente il proprio malware con programmi come VirusTotal. I Cyber criminali creano migliaia di copie uniche e casuali e solo quelle che aggirano i sistemi di protezione vengono salvate e poi utilizzate.

Oltre a questi i cyber criminali si servono di tecniche fileless o sfruttano vulnerabilità zero- day.

Senza contare che il numero degli attacchi poi aggrava ulteriormente il problema.

Alcuni esperti stimano che ogni giorno vengono rilasciati più di 1 milione di nuovi malware, detto in altre parole, 12 al secondo!
  
Più diventano numerosi i malware, più diventano pesanti gli aggiornamenti delle firme degli antivirus.

Per far fronte a ciò e “liberare spazio” molti fornitori di soluzioni antivirus hanno da tempo pensato di rimuovere le firme per i file malware più obsoleti.

Ma così facendo, hanno spianato la strada ai cyber criminali i quali hanno pensato bene di tornare a rilasciare nuovamente i virus più datati dato che non possono più essere rilevati.

Un'altra conseguenza che ne deriva è che i fornitori di soluzioni antivirus aumentano in maniera significativa la frequenza di rilascio di aggiornamenti.

Basti pensare che negli anni ’80 venivano rilasciati aggiornamenti una volta al mese mentre oggi si arriva ad averne più volte al giorno!

I ransomware

Nonostante sia possibile aggiornare velocemente e di continuo il proprio antivirus, rimane lampante il ritardo con il quale i fornitori delle soluzioni di protezione riescono a individuare le nuove minacce per classificarle e aggiungerle al proprio database.

La forbice temporale media di ritardo si aggira tra le 4 e 48 ore ed è giusto il tempo necessario affinchè un malware possa aggirare le barriere protettive e infettare il dispositivo preso di mira. 

Per i comuni virus questo ritardo potrebbe essere gestibile.

Se parliamo invece di ransomware il pericolo non è contenibile perché non appena questo arriva a destinazione inizia a crittografare tutti i file contenuti.

Anche se l’antivirus riuscisse poi a rilevarlo e rimuoverlo, sarebbe troppo tardi per rimediare al danno fatto.

La soluzione

Scenario infernale vero?

E se ti dicessi che esiste LA soluzione a tutto ciò?

O meglio, se ti dicessi che recuperare istantaneamente i dati corrotti da ransomware, anche se non si dispone di un backup, è possibile?

Prova a dare un’occhiata qui! Secondo me non crederai ai tuoi occhi…

 
Tratto dal blog di Neushield Data Sentinel
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.