Epidemia da cryptovirus

I cryptovirus sembrano inarrestabili e stanno mettendo a dura prova i sistemi di sicurezza e backup di moltissime aziende. Cosa è un cryptovirus?

Un cryptovirus o ransomware è un particolare tipo di virus che cripta i file dei documenti rendendo incomprensibile il contenuto. Il virus si propaga attraverso la rete, compromettendo anche gli archivi condivisi aziendali. La chiave per ripristinare il contenuto originale viene fornita dall’autore del virus solo dietro il pagamento di una somma di denaro, da qui il termine “ransom” (riscatto). Alcune varianti del virus sono state sviluppate solo per distruggere i documenti, senza che la chiave possa essere in alcun modo reperita.

La crittografia utilizzata dal virus è certamente reversibile ma, senza conoscere la chiave, qualsiasi tentativo di tornare indietro richiederebbe anni di elaborazione. Con un algoritmo di tipo AES128 ci sarebbero 3,4 × 10^38  combinazioni diverse, un numero talmente grande da non poter neanche essere immaginato.

Il principale veicolo di infezione è Internet, non solo tramite siti poco attendibili e classici download infetti, ma con allegati email, spesso camuffati da fatture o documenti importanti. Non è più sufficiente controllare la sola posta aziendale, ma anche quella personale acceduta tramite web (Gmail, Outlook.com, Yahoo, Libero…) è una possibile fonte di rischio.

Perché gli antivirus classici non funzionano? I cryptovirus (proprio per la questione delle chiavi di crittografia di cui sopra) sono uno diverso dall’altro, con “impronte virali” sempre differenti. La velocità con cui nascono è di molto superiore a quella con cui i produttori di antivirus realizzano le protezioni.

Una volta infettati, il cryptovirus non danneggia il personal computer od il suo funzionamento, ma “si limita” a compromettere tutti i documenti, compresi disegni, fotografie e file di vario genere. Poiché sfrutta gli stessi privilegi dell’utente che ha contratto l’infezione, è impossibile da bloccare perché può propagarsi in rete nello stesso modo in cui farebbe l’utente stesso. Ecco ad esempio, come un impiegato dell’ufficio marketing possa compromettere il proprio PC e tutta l’area dei documenti condivisi del suo reparto, creando disagio a tutta l’azienda. Se poi l’amministratore di sistema è stato sprovveduto nel lasciare condivisioni aperte e senza sicurezza…

Alcuni consigli per limitare al massimo i danni da cryptovirus:

  • Informazione e formazione agli utenti
    Spiegare loro il funzionamento del virus ed i rischi che corrono navigando in siti poco attendibili. Prestare la massima attenzione all’apertura degli allegati ed all’estensione (questa sconosciuta…) del nome del file.
  • Controllo antivirus sul traffico di rete
    Dotarsi di un buon sistema firewall che faccia un’analisi del traffico dati in tempo reale, bloccando le minacce dalle fonti insicure e controllando file e allegati dalla presenza di virus.
  • Blocco degli allegati
    Impostare una serie di regole sul proprio server di posta per impedire l’invio e la ricezione di allegati pericolosi, in base all’estensione del nome file. Davvero abbiamo bisogno di inviare file ZIP tramite email?
  • File system con versioning
    Molti strumenti di condivisione file ed alcuni file system offrono la possibilità di un auto-versioning delle modifiche. Ogni volta che un utente modifica un file, il sistema crea una copia della versione precedente, consentendo di tornare indietro. In questi sistemi anche le cancellazioni sono protette.
  • Compartimentare le condivisioni
    Così come una nave ha i compartimenti stagni per evitare di affondare in caso di impatto, anche le condivisioni di rete devono essere accessibili per gruppo di utenti o comparti di lavoro. In questo modo se un reparto si infetta, il resto dell’azienda continua a funzionare. Bisogna evitare le condivisioni dove tutti vedono e modificano tutto.
  • “Proteggere il castello”
    Il cuore  pulsante dell’azienda, i server e le risorse di calcolo, andrebbero isolati in una rete privata (fisica o VLAN) e si dovrebbero esporre all’esterno solo determinati servizi, tramite un firewall. Le minacce non sono più solo quelle che arrivano dall’esterno (Internet o utenti ospiti) ma gli utenti stessi – un tempo fidati – possono trasformarsi in un nemico. Se un server viene attaccato dal cryptovirus tramite una condivisione amministrativa il danno aumenta esponenzialmente.
  • Backup backup backup
    Alla fine, se il danno è fatto, non rimane altro che ripristinare dal backup. Avere un backup aggiornato e se possibile anche di più volte al giorno è l’unica vera protezione. Meglio poi se il backup è in un luogo protetto, non accessibile e magari asportabile.

Come ci si accorge di aver preso un cryptovirus? Questo è il tema principale perché prima ce ne accorgiamo e prima possiamo avviare la procedura di ripristino dei documenti. Ma se il backup ha una rotazione settimanale e avvertiamo il problema dopo 10 giorni, non c’è più nulla che ci possa proteggere.

Così con l’amico Giorgio (CIO di una importante azienda nazionale) abbiamo sviluppato un software in grado di avvisare tempestivamente l’IT se avviene un anomalo numero di modifiche ai file di una condivisione. Il software inoltre blocca le condivisioni, impedendo che l’infezione si allarghi. Il criterio è semplice: se normalmente il carico di lavoro di una condivisione è di tot file modificati al minuto, in caso di infezione questa velocità aumenterà notevolmente, perché il virus apre e modifica tutto ciò che trova nel più breve tempo possibile.

Su Windows questo è possibile attivando l’audit del filesystem. Prima va configurata una policy locale di sicurezza:

Audit policy

poi va impostata la regola di controllo sulla cartella che ospita i documenti condivisi:

Audit Policy

ed infine si analizza il registro eventi alla ricerca di comportamenti anomali:

Security Event

Per chi volesse provare il software o contribuire a perfezionarlo, abbiamo creato un repository GitHub.

https://github.com/sgiordy/CryptoBlocker

 

Chiama subito per maggiori informazioni +39 0113473770
oppure lasciaci i tuoi recapiti e sarai contattato il prima possibile:



 

Lascia un commento