Morto un Locky se ne fa un altro

Infatti, la prima ondata di Locky è passata, ma il ransomware viene ancora distribuito a livello globale e nei paesi di lingua tedesca. Sebbene questa seconda ondata sembri più contenuta rispetto alla prima, il successo finanziario che questo malware ha decretato per chi lo ha creato e distribuito ci fornisce alcuni indizi sulle funzionalità che probabilmente verranno incluse nelle PROSSIME serie di malware. “Segui il denaro”, ossia il motto del film Tutti gli uomini del Presidente, il classico sul Watergate con Robert Redford, si applica alla perfezione anche al malware. Questi indizi su Locky sono un mix di funzionalità tecniche, di distribuzione e operative che dovrebbe fungere da monito per gli utenti e le aziende che pianificano la propria strategia di difesa.

  1. Drive: Locky crittografava tutti i drive di computer e reti, anche condivisioni e drive non mappati. Si presume che questa ampia capacità di crittografia verrà inclusa anche nelle versioni future del ransomware.

Contromisura: disporre di un robusto piano di backup, preferibilmente con un servizio cloud, che offre il controllo delle versioni dei file e il ripristino. Per gli utenti finali, disporre di un hard disk o di un’unità SSD di riserva per un backup a livello locale è utile, ma solo se il disco fisso viene disconnesso al termine del backup. Questo protegge il backup anche dai danni causati da altri pericoli come i colpi di corrente dovuti ai lampi.

  1. Denaro nuovo con trucchi vecchi: Locky agiva direttamente utilizzando le macro dei documenti di Word e aggiungendo un pizzico di ingegneria sociale per fare in modo che i destinatari attivassero le macro. Malgrado non fossero nuove, queste tecniche non solo hanno funzionato, ma si sono anche rivelate molto redditizie per i pirati informatici.

Contromisura: sebbene le minacce zero-day catalizzino gran parte della tua attenzione, non dimenticarti della protezione di base dalle vulnerabilità permanenti, come la manipolazione delle macro. Consigliamo di abilitare solo le macro di Office con firma digitale e disabilitare le altre. Nelle reti aziendali è possibile farlo in maniera tale che gli utenti finali non vedano tale opzione.

  1. Malware non rilevabile: nelle prime fasi dell’assalto di Locky, le pubblicazioni in materia di sicurezza puntavano il dito contro la ridotta capacità di rilevamento della maggior parte degli antivirus in VirusTotal. Questa visione della situazione è senz’altro veritiera, ma incompleta. Locky è considerato un malware di livello FUD (non rilevabile), il che significa che i file del malware vengono ottimizzati fino a diventare “invisibili” per la totalità degli scanner antivirus. Ma i pirati informatici verificano i propri campioni di malware sulla base degli strumenti di rilevamento pubblici disponibili in VirusTotal o di sistemi di verifica privati e interni che operano in modo analogo. Il dato relativo alla ridotta capacità di rilevamento, pertanto, deve essere letto con cautela. Solo alcuni produttori di antivirus, infatti, hanno integrato sistemi di rilevamento basati su cloud o altri metodi di rilevamento avanzati nei propri prodotti abilitati su VirusTotal. Alcune volte, come nel poker, è meglio non svelare tutti i propri assi nella manica.

Contromisura: essere sempre scettici e tenere gli occhi bene aperti.

  1. La saggezza del cloud: Avira rileva Locky su diversi strati durante il rilevamento e l’analisi su cloud. Nello strato di AutoDump, Locky viene rilevato dopo la rimozione di diversi strati di offuscamento. Nello strato di apprendimento automatico di NightVision i file vengono classificati in base a circa 7000 caratteristiche, permettendoci di individuare il malware in maniera molto efficiente. Nel caso in cui il malware venga individuato prima da altri strati di rilevamento, il sistema NightVision apprende il campione di malware in modo dinamico entro pochi minuti coprendo le sue possibili varianti. Inoltre, l’analisi su cloud non è alla portata dei pirati informatici.

Contromisura: per godere di una protezione completa è bene assicurarsi che la protezione su cloud del proprio antivirus sia completamente attivata. Questo aspetto riveste per noi un’importanza tale che abbiamo dotato automaticamente i nostri utenti privati di Avira Protection Cloud. Per ragioni di protezione dei dati, prima di ottenere Avira Protection Cloud, le aziende devono approvare per iscritto il Contratto di licenza con l’utente finale.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.