Ransomware: il CERT avverte che la situazione peggiora

Indice

La situazione italiana inerente in ransomware non accenna a migliorare e, fondamentalmente, questo riflette la situazione europea se non addirittura globale. Qualche ora fa il CERT nazionale, incaricato di segnalare problematiche legate alla cyber security, ha annunciato qualcosa di preoccupante.

È stata recentemente individuata una campagna di Email malevole con allegati documenti Word infetti che scaricano sul computer della vittima il ransomware Hermes.  [Fonte: CERT Nazionale – 30/07/2018 10:23]

La condizione di diffusione di Hermes è nota agli addetti ai lavori: i ransomware, le cui varianti sono particolarmente facili da creare, sono in netto aumento. La facilità di diffusione (email con allegati), unita alla grande capacità infettiva e alla resistenza dell’infezione, sono tutte caratteristiche fondamentali.

ACL: il concetto di ereditarietà

C’è un aspetto che spesso viene ignorato delle infezioni: il virus agisce partendo dal computer dell’utente contagiato ereditando, di conseguenza, tutti i privilegi di accesso a file e cartella dell’utente. L’Account Control List è proprio questo:

In informatica una lista di controllo degli accessi (in lingua inglese di access control list, abbreviato in ACL) è un meccanismo usato per esprimere regole complesse che determinano l’accesso o meno ad alcune risorse di un sistema informatico da parte dei suoi utenti. [Fonte: Wikipedia]

Di conseguenza, uno degli elementi che dovrebbe far riflettere è l’importanza dell’attribuzione dei privilegi di lettura e scrittura. Tenete sempre in considerazione che in informatica i privilegi girano tutti intorno ad un acronimo ossia CRUD.

Create (scrittura)
Read (lettura)
Use (esecuzione)
Delete (cancellazione)

C’è tuttavia un messaggio che non traspare abbastanza chiaramente dalla CRUD. Che cosa è una rinomina di un file, o uno spostamento?

La rinomina di un file (azione frequente dai ransomware) è una copia con cancellazione. Durante un’infezione ransomware avvengono, superficialmente, tre passaggi:

  1. Il file originale viene individuato
  2. Viene creata una copia cifrata del file
  3. Viene quindi eliminato il file originale

Abbiamo effettuato alcuni test simulando l’infezione di un ransomware e togliendo all’utente la possibilità di cancellare i file. Ovviamente l’azione ha prodotto una reazione: il file è stato scritto il file malevolo ma l’azione di cancellazione è stata correttamente bloccata: duplicando quindi lo stato dei file. Il virus è andato avanti nella sua infezione.

In un altro caso il virus è stato interrotto perchè la risposta alla violazione dei privilegi ha fatto decadere la “sessione” di scrittura ma questo è avvenuto su un particolare sistema che al momento è in fase di studio.

Psicologia della cyber security: analisi comportamentali dei virus

Molti di noi stanno notando che i principali produttori di antivirus parlano di una protezione con analisi comportamentale delle minacce. Questo perchè, dal punto di vista della sicurezza, i ransomware (e non solo loro) sviluppano un comportamento simile a quello dell’essere umano. Di conseguenza anche le contromisure dovranno andare ad analizzare in modo analogo i comportamenti del sistema.

Le procedure di backup o automatizzate dovrebbero essere seguite da utenti con privilegi minimi e con caratteristiche limitative ben definite.

Ecco alcuni esempi.

  • Per prima cosa tutte le procedure di backup dovrebbero essere affidate ad account dedicati, in grado di scrivere solo in specifiche cartelle, e di escludere taluni privilegi tra cui, ad esempio, la funzione di cancellazione.
  • Affidare una quota disco limitata, in grado di evitare esuberi di scrittura provocati da eventi malevoli.
  • Prevedere attività di monitoraggio e gestione delle cartelle come, ad esempio, attività di cancellazione mensile per mantenere sotto quota massima i file, tenendo presente che i file cancellati saranno comunque presenti nei precedenti backup. Generalmente queste attività sono a carico di altri account operativi, ad esempio, con privilegi di cancellazione.

 

Perchè l’analisi comportamentale della sicurezza

L’analisi comportamentale consiste nel creare procedure e attività complesse, basate sul modus operandi del potenziale virus o dell’utente. Vi ricordo che negli anni ’90 i principali antivirus prevedevano una modalità di analisi “euristica”:

Si definisce, infatti, procedimento euristico, un metodo di approccio alla soluzione dei problemi che non segue un chiaro percorso, ma che si affida all’intuito e allo stato temporaneo delle circostanze, al fine di generare nuova conoscenza. In particolare, l’euristica di una teoria dovrebbe indicare le strade e le possibilità da approfondire nel tentativo di rendere una teoria progressiva, e cioè in grado di garantirsi uno sviluppo empirico tale da prevedere fatti nuovi non noti al momento dell’elaborazione del nocciolo della teoria. [Fonte: Wikipedia]

Oggi questo concetto è stato estremizzato e portato ad un livello più alto, più complesso e ben più difficile da attuare. Quindi è importante stabilire le politiche di protezione immaginando il comportamento delle infezioni.

  • Un operatore deposita file in cartella ma non può cancellare.
  • Un altro utente si preoccupa, ogni mese, di cancellare file.
  • In caso di duplicazione e cifratura del file l’originale non può quindi essere distrutto ma al massimo convive con il duplicato.
  • L’operatore non può superare una certa soglia di scrittura il che potrebbe bloccare processi di scrittura eccessivi.

Di tutte queste regole, forse la principale è legata alla limitazione dei privilegi dell’account che opera sul computer. È fondamentale gestire adeguatamente gli attributi di lettura/scrittura/esecuzione e ricordate che un backup multi-versione è fondamentale, soprattutto se in cloud.