| Negli ultimi mesi abbiamo
assistito all’intensificarsi degli attacchi basati sul malware Cryptolocker
e sulle sue varianti. Qui di seguito riportiamo alcune informazioni
di carattere generale per conoscere e prevenire l’infezione. |
| |
| Cryptolocker |
| Cryptolocker è un
trojan di tipo ransomware: un malware che, una volta eseguito, cifra
i documenti presenti sul disco fisso rendendoli inutilizzabili all’utente.
Per sbloccare i file viene richiesto il pagamento di un riscatto.
Se l'utente non effettuerà il versamento della quota richiesta,
la chiave utilizzata per cifrare i suoi dati verrà definitivamente
cancellata dai server degli autori di Cryptolocker rendendone impossibile
il recupero. Tuttavia, in alcuni casi, anche pagando il riscatto è
possibile che la chiave per decifrare i dati non venga inviata alla
vittima. |
| |
| Come si diffonde e perchè
è difficile da rilevare |
| Cryptolocker utilizza solitamente
comunicazioni che adottano strategie di social engineering: cerca
cioè di ingannare gli utenti portandoli ad aprire documenti
verosimili recapitati solitamente come allegati ai messaggi di posta
elettronica e inviati da mittenti apparentemente legittimi. I file
eseguibili vengono spesso zippati e l’estensione “mascherata”: non
viene visualizzato come “nomefile.exe” ma “nomefile.pdf.exe”, “nomefile.docx.exe”,
etc. Esistono anche altri metodi per indurre gli utenti a scaricare
il malware, come ad esempio, mail di phishing in cui è contenuto
un link, file doc o pdf al cui interno si possono trovare link, macro
etc. Una volta eseguito il file, il sistema infettato inizia a cifrare
i dati in locale e sugli share di rete. |
| In alcuni casi l'esecuzione
non viene bloccata dal sistema di rilevazione antivirus semplicemente
perchè quella scaricata dall'utente è una nuova versione
del malware non ancora presente nelle signature. Quando gli autori
di Cryptolocker iniziano a diffondere un nuovo set di mail contenente
l'attacco, contestualmente creano una nuova versione di Cryptolocker
per cifrare i file bersaglio. In questo modo, gli utenti che ricevono
una nuova mail scaricheranno sempre una nuova versione del file testata
per non essere rilevata dalla maggior parte dei software antivirus.
L'infezione potrebbe non essere rilevata se l'esecuzione del file
avviene nell'intervallo di tempo tra la prima diffusione del file
e la creazione/rilascio/installazione locale della signature antivirus.
Nel caso di Cryptolocker, l'accuratezza delle mail/documenti inviati
e l'estrema rapidità con cui le nuove varianti vengono create,
non sempre consentono ai vendor di essere sufficientemente veloci
nel rilascio delle signature antivirus. Questi fattori portano sovente
ad un'alta probabilità di infezione. |
| |
| Come mitigare il rischio |
| - Gli utenti dovrebbero
porre la massima attenzione alla natura degli allegati che decidono
di aprire, in modo particolare al contenuto degli ZIP. Non dovrebbero
aprire allegati con estensione .cab, .exe, .lnk. ecc. a meno di non
essere estremamente sicuri che la mail sia reale. |
 |
| - Effettuare frequentemente
il backup (backup offline, o comunque non accessibile via rete con
credenziali utente o nulle). |
|
| - Aggiornare frequentemente
il database del proprio Antivirus, attivando dove possibile i controlli
aggiuntivi: controllo delle applicazioni, controlli proattivi, protezione
della navigazione e controllo della posta. |
|
| - Munirsi di soluzioni di
controllo contenuti a livello gateway (UTM firewall, content security
gateways) in modo da poter controllare/filtrare il contenuto del traffico
mail o web. |
|
| - Inibire, ove possibile,
la ricezione di file eseguibili nelle caselle di posta elettronica
ed il download di eseguibili dal web. Questa operazione eleva notevolmente
il livello di sicurezza della rete, senza interferire con l'attività
quotidiana degli utenti che, in genere, non presuppone il download,
l'installazione o l'esecuzione di file. |
|
| - Attivare funzionalità
anti APT (Advanced Persistent Threat) sulle soluzioni di sicurezza.
Queste possono rilevare agevolmente una nuova minaccia eseguendo preventivamente
il file, su macchine virtuali remote al posto dell'utente, reagendo
in base al comportamento riscontrato. Le soluzioni anti APT sfruttano
gli automatismi di analisi e l'alta diffusione dei malware come Cryptolocker
come arma per impedirne l'accesso alla vostra rete. |
|
| - Attivare, ove possibile,
soluzioni avanzate di End Point Protection. Queste soluzioni sono
in grado di rilevare potenziali malware ancora sconosciuti in base
al comportamento dell'eseguibile sul sistema operativo nel quale venga
eseguito il file. Ad esempio, varianti di Cryptolocker utilizzano
sistemi di memory overflow che possono essere facilmente riconosciute
da sistemi avanzati di End Point Protection. |
|
| - Implementare sistemi avanzati
di Behaviour Analysis per capire quando, come e dove un'infezione
di Cryptolocker si sta attivando in rete. |
| |
| |
| Per conoscere le soluzioni
che possono aiutarti a proteggere i dati dei tuoi clienti contattaci
(Tel. 0521 708811, email: sales@symbolic.it
e support@symbolic.it) |
| |
| |
| |
