K-Soft di Pelva Zoltan

software per la gestione degli appuntamenti nelle strutture sanitarie

Jeeves

Perché gli antivirus sono inefficaci contro gli attacchi ramsomware

Infect-icon

Dal punto di vista tecnico, molti dei recenti virus informatici sono veri e propri capolavori, resi possibili da grossi investimenti in persone e strutture, ovvero chi li crea non è il singolo hacker nello scantinato di casa ma organizzazioni criminali specializzate in questo settore.
L’aspetto che più di frequente balza agli onori delle cronache, anche non di settore (e grava sulle tasche delle vittime) è la richiesta di riscatto, derivante dall’implementazione di algoritmi di crittografia, cioè rendere i files dell’utente illeggibili. Altra caratteristica determinativa dei virus recenti è la capacità di evitare il rilevamento da parte degli antivirus.

Come fanno i virus a non farsi scoprire?
Analizziamo cosa succede durante un attacco informatico. Di norma, il primo veicolo di infezione non è il virus crittografico principale ma qualcosa di molto più innocuo a prima vista…
Il clic sull’allegato della posta elettronica o sulla pagina web infetti manda in esecuzione un file (detto dropper) che ha essenzialmente il compito di comunicare con un server remoto, il Command & Control server (C&C server) per scaricare il CryptoVirus.
Nel tempo, le mansioni e le capacità di questo programmino scaricato dall’utente ignaro si sono evolute, da semplice “downloader o scaricatore” a vera e propria talpa nel pc dell’utente, ottenendo informazioni sul sistema ospite e comunicandole al C&C server stesso. Per inciso spesso il server C&C è un’altra vittima, un server di un utente ignaro che questo sia utilizzato per raccogliere informazioni e inviare mail infette.

Torniamo alla nostra infezione. Il dropper ha scaricato sulla macchina una versione del virus progettata per aggirare il nostro specifico antivirus, che quindi andrà in esecuzione e crittograferà i nostri file.
Ma com’è possibile che un virus aggiri una protezione studiata proprio per prevenire questo tipo di attacchi?
Le strategie sono numerose ma comunque tendenti a fare qualcosa che sembri assolutamente normale e uno dei metodi più efficaci va sotto il nome di Process Hollowing (“svuotamento di un processo”).
Il virus esegue un processo autorizzato e normale Windows, ma in modalità sospesa. A quel punto, svuota la memoria in uso dal processo stesso e inietta al suo posto il codice virale, ossia la porzione che esegue le azioni malevoli.
In questo modo, il virus viene eseguito sotto le sembianze di un processo legittimo e non permette all’antivirus di rilevarlo, nemmeno quando inizia operazioni distruttive come la criptatura o la cancellazione di file e copie shadow.

Altra tecnica è quella di creare virus polimorfici offuscandone il rilevamento da parte degli antivirus, ad esempio crittografando l’eseguibile con algoritmi diversi o racchiudendolo in differenti contenitori. E’ evidente come queste pratiche rendano virtualmente inutili gli antivirus basati su firme.
Pertanto, mai come adesso l’antivirus , da solo, è inefficace nel fronteggiare da solo le minacce derivanti dai virus informatici.
Una strategia di prevenzione deve necessariamente basarsi, oltre che su un software di rilevamento del malware, anche su backup (e ripristino) affidabile, sulla educazione degli utenti e sulla implementazione di criteri di sicurezza atti a limitare le potenzialità distruttive di questi virus.

In sintesi, poiché è praticamente impossibile chiudere tutte le porte possibili di accesso (mail, siti web, ecc.) è necessario implementare politiche di ripristino dei dati rapide e sicure, come descritto nell’articolo Strategie di  Backup. Inoltre è fondamentale una buona educazione degli utenti all’uso delle delle strutture informatiche perché, come da studi effettuati, pare che la maggior parte degli utenti non si renda conto del valore dei propri dati finché non li perde, dando per scontato che essi siano sempre disponibili ed integri.

Chi non ha adottato procedure di sicurezza, ha omesso di proteggere i propri dati semplicemente perché non ha compreso effettivamente le problematiche di un sistema informatico.

Si da per scontato che le procedure impostate siano corrette e efficienti, devono svolgere la loro funzione: si è acquistato un sistema e quindi sicuramente sta lavorando bene.

La strategia di molti si basa su questa insana certezza, nessuno si è mai preoccupato di tentare un ripristino dei dati dal backup, o di controllare se l’antivirus è aggiornato: un sistema di protezione oltre ad  avere un design adeguato alla struttura, deve avere e un sistema di controllo e gestione dei problemi che possa garantire la perfetta efficienza dell’infrastruttura.

 

Categories:

,

Tags:

, , ,