Gli esperti di cybersecurity di CERT-AgID rilevano 7 malware: AgentTesla, Formbook, SpyNote, Lokibot, WarzoneRAT, Ursif e Remcos. Il phishing sfrutta INPS.
Exabeam: Altri ransomworm seguiranno WannaCry nel prossimo futuro
Arriveranno altri ransomworm con ceppi diversi
Nel prossimo futuro ci saranno altre campagne con ransomworm tipo WannaCry. Né è convinta Exabeam, azienda specializzata nella sicurezza delle informazioni, tra le prime a scoprire già nel 2016 l’esistenza di questa nuova categoria di Malware. Per la prima volta gli specialisti parlano in Italia e hanno rilasciato un’intervista in esclusiva a Difesa & Sicurezza. Spiegano quali sono i pericoli presenti e futuri per la cybersecurity a livello globale. “Come ogni nuova tendenza tecnologica, credo che altri ransomworm seguiranno l’arrivo di WannaCry – ha spiegato Barry Shteiman, capo della Ricerca e Innovazione di Exabeam -. Vedremo arrivare più ceppi del ransomworm”. A conferma delle sue parole, già dopo poco dalla sua comparsa il malware è mutato. Tanto che il famoso kill switch presente nella sua prima versione, scoperto da un giovane ricercatore, in quelle successive è stato eliminato.
Il panorama delle minacce future legato ai ransomworm
Qual è il panorama delle minacce legate ai futuri ransomworm? “Riteniamo che per le infezioni saranno usati exploit kit – ha aggiunto Shteiman -. Credo che i prossimi ransomworm li avranno incorporati”. Non solo. “Probabilmente – ha sottolineato il capo della Ricerca e Innovazione di Exabeam -, si svilupperà un sotto mercato per gli exploit 0-days. Gli autori dei malware offriranno soldi per far sì che gli 0-days siano inclusi nei loro software”. Anche i bersagli cambieranno. L’azienda californiana ha predetto che nel cyberspazio “cominceranno ad apparire ransomware legati ai dati strutturati”. “Questi – ha concluso Shteiman -, cripteranno non solo singoli files, ma interi database”.
La kill chain dei ransomware
Exabeam ha stilato una ricerca, in cui ha identificato la “kill chain” legata ai ransomware. Chiaramente alla sua base c’è la prevenzione contro le cyber minacce. Se questa non ha funzionato, ci sono altri metodi. Solitamente i malware vendono identificati dopo che hanno già colpiti e quando si arriva al “payday”: la richiesta di riscatto. Qui è troppo tardi per agire. Ma si può risolvere la situazione nel periodo che intercorre tra l’infezione e l’Encryption dei files. Questa, infatti, richiede tempo: il malware deve installarsi, prepararsi a resistere ai reboot, identificare i viles vulnerabili e criptarli. In alcune situazioni per l’intero procedimento sono sufficienti pochi secondi. In altre minuti o ore.
I personal computer si possono compromettere in secondi, i network aziendali richiedono minuti o ore
Exabeam ricorda che i personal computer hanno pochi files e che questi sono facili da trovare. Anche se sono raccolti in servizi di cloud come Dropbox. Di conseguenza, il tempo a disposizione per reagire a un attacco ransomware è molto poco. La situazione, però, cambia con i network aziendali. I malware devono necessariamente impiegare più tempo per compiere tutte le operazioni, che si moltiplicano per tutte le macchine collegate. A seguito di ciò c’è una finestra di opportunità per bloccare la diffusione dell’infezione.
I ransomware si aggiornano quotidianamente, ma lasciano tracce nei log artifacts
Nella ricerca Exabeam ha rilevato che ogni ransomware si aggiorna quotidianamente e che non c’è un malware che rimane invariato per più di 24 ore. Ciò crea grandi difficoltà agli strumenti di cyber defence tradizionali, antivirus in primis. Una soluzione in questo senso arriva dall’analisi del modello comportamentale. Si è visto, infatti, che i ransomware seguono un percorso ben specifico. Si distribuiscono, infettano, si proteggono, scansionano il sistema-vittima, criptano i dati e infine avvisano gli utenti di quanto avvenuto. Inoltre, in ogni singolo passaggio della kill chain, ci sono attività che devono essere condotte. Queste si manifestano nei log artifacts come azioni effettuate dal bersaglio degli hacker.
Per scoprire in tempo un’infezione ransomware serve una modellazione comportamentale automatizzata, basata sui log artifacts
Analizzando tutti i log artifact di un ambiente specifico, sia buono sia cattivo, e ricollegandoli a utenti specifici, si può creare la timeline giornaliera di ogni singolo utilizzatore della macchina. Per Exabeam, perciò, la modellazione comportamentale può quindi determinare ciò che è sono insiemi di azioni normali e anomale degli utenti. Individuare anomalie associate a ransomware in tempo reale. A patto, però, che l’analisi sia fatta con tecniche automatizzate. Contare sul fattore umano per rilevare i malware sarebbe un errore e comunque l’operazione richiederebbe troppo tempo, a fronte di una finestra d’opportunità limitata.
Exabeam: Contromisure e kill chain di ransomworm e ransomware sono identiche
Comunque, anche nel caso dei ransomworm come WannaCry, Exabeam ritiene sia valida la stessa soluzione legata ai ransomware. “Le contromisure sono le stesse – ha ricordato Shteiman -. Come è identica la kill chain”.
La ricerca di Exabeam sui ransomware e sulla loro kill chain (file PDF)
Articoli correlati
