Ransomware: nuove politiche di gestione

Indice

Microsoft, Acronis e altre major IT si stanno prodigando nel tentativo di trovare una soluzione che riesca a difendere gli utenti dalle minacce dei Ransomware.

Come molti editoriali hanno scritto la prima grande difesa che sancisce il calo o l’incremento dei ransomware è il valore della criptovaluta utilizzata. Non vi è convenienza nella richiesta di riscatto quando il cambio valuta normale – criptovaluta è troppo svantaggioso. Ma questo aspetto è, in fondo, solo un deterrente. Il cambio potrebbe diventare più vantaggioso vedendo tornare in auge una minaccia verso la quale, almeno per ora, non vi è una vera e propria soluzione.

 

La soluzione proposta

Acronis e Microsoft hanno lanciato soluzioni per certi versi paritetiche che hanno l’ardire di intervenire in difesa dei dati al momento dell’innesco della minaccia, vediamo come funzionano. Il ransomware compie essenzialmente dei passaggi chiave:

  1. Si installa sul computer dell’utente.
  2. Avvia un processo di cifratura dei file con particolare formati.
  3. Distrugge i file originali e presenta una maschera di richiesta di riscatto.

Le soluzioni più in voga si innestano sulla fase 2. Non appena il sistema inizia ad eseguire la cifratura dei file, il software segnala all’utente una possibile operazione malevola dovuta alla massiccia modifica dei file. Si tratta di un’idea astuta ma che difficilmente potrà mantenersi a questo stato di evoluzione.

 

I problemi e le possibili soluzioni

Il problema principale è che il monitoraggio di questi file rischia di bloccare, ad esempio, installazioni di programmi regolari. Window Defender, da una prova effettuata il 4 maggio, ha interrotto la regolare installazione di Acronis True Image 2018 che si avvale di un regolare pacchetto di installazione sicuro e ben funzionante. L’installazione è stata intesa da Windows Defender come una minaccia da bloccare obbligandoci ad interrompere il processo e farlo ripartire dopo aver disattivato la difesa specifica di Windows Defender.

Un altro problema è provocato dall’aumento delle prestazioni richieste da Windows Defender (o da programmi analoghi) per monitorare le modifiche operate sui file in tempo reale. Windows Defender era già stato definito “pesante” sui sistemi più datati (3-5 anni più vecchi), con questa modifica si rischierebbe di ingessare ulteriormente il sistema.

Infine un’ulteriore problema potrebbe essere la richiesta di spazio necessario per mantenere le varie versioni dei file da ripristinare in caso di cifratura. Parliamo di uno spazio che, generalmente, ricopre un rapporto di 2/3 dello spazio di un disco.

Acronis offre una copertura near-realtime per le modifiche ai file, permettendo di risalire all’ultima versione a patto che sia stato configurata un’opportuna periferica di backup. Tale periferica, si suppone, sarà in grado di non essere a sua volta cifrata dal ransomware.

Una strategia per difendere i file è spesso quella di cambiare il nome dell’estensione del file poiché le estensioni dei file cifrati sono codificate all’interno del codice del ransomware: se l’estensione non è nella lista, il ransomware non le cifra. Di conseguenza è facile che possa essere cifrato un articolo con formato .doc ed è impossibile che venga cifrato un formato .fdsjle poiché non esiste.

Spesso si domanda come mai non vi sia un comando simile a *.* nella cifratura. Il motivo è piuttosto evidente: l’esecuzione del virus andrebbe in stop non appena vi fosse il tentativo di cifratura di un file di sistema considerato in esecuzione. Questo rende quei file non modificabili, non cancellabili e di conseguenza neanche alterabili se non dal sistema operativo stesso.

Si potrebbe usare il comando *.* su specifiche cartelle, ad esempio su quella “documenti” ma questo ridurrebbe l’efficacia del virus che, ad oggi, scansiona: – Disco principale – Dischi secondari – Unità di rete (perchè considerate dischi secondari)

Mentre ricordiamo che il virus non riesce a scansionare i collegamenti a cartelle poiché percorsi virtuali che non riesce a tradurre.

 

Il futuro…

Sicuramente Microsoft può contare su un vantaggio strategico: un sistema integrato di copie shadow dei file che, già da subito, potrebbe essere attivato. La sicurezza implementata a livello di sistema operativo rende l’intera difesa più “praticabile” in teoria. In pratica spesso è proprio il sistema operativo il primo a “crollare” corrompendo l’esecuzione delle difese. Ad esempio è noto come il ransomware cifri i file .exe per impedirne la corretta esecuzione. Il futuro dovrà prevedere maggiore sicurezza per i file degli utenti.

Per i clienti enterprise su Microsoft Exchange, Microsoft ha proposto una detonation area automatica che, in buona sostanza, si occupa di aprire gli allegati degli utenti e verificare che non vi sia codice malevolo. Molti hanno storto il naso a questo tipo di soluzione data la delicatezza della procedura dal punto di vista della privacy.

Altre soluzioni proposte si basano sull’impiego di soluzioni basate sul cloud, che consentano di archiviare i file e mantenere più versioni degli stessi (data retention). Qui, oltre alle problematiche legate alla privacy, vi è anche un problema di banda e disponibilità dei file. Uno studio grafico, ad esempio, può permettersi di fare continui invii di file che mediamente superano i 50 Gb? La soluzione proposta non può sempre essere “spostata” verso l’esterno del client dell’utente.

È probabile che i ransomware obblighino ad un futuro cambio del sistemi hardware prodotti, aggiungendo ad esempio “partizioni protette” ad accesso riservato da parte di specifici processi del S.O. ma è altrettanto possibile che l’abbattimento dei costi dei dischi a stato solido, e l’aumento della loro attuale capienza, renda disponibile un fluido processo di versioning dei file cosa che oggi renderebbe più breve i ciclo di vita del disco raddoppiando i processi di scrittura.

Sicuramente il futuro è ancora da scrivere: speriamo solo che sia scritto in chiaro…e non cifrato.