Zero-day attack: virus con riscatto

Scritto il 24/01/2015
Zero-day attack: virus con riscatto
 

In questi giorni sempre più PC aziendali vengono attaccati da virus come The  Extortioner che cifrano tutti i dati dei PC aziendali: perché e come evitarli?

Virus a tempo zero

Questo tipo di virus, che agisce senza trovare ostacolo nell’antivirus, è chiamato zero-day attack, cioè un attacco su una vulnerabilità non ancora nota per cui  l’antivirus non lo può intercettare e rimuovere in nessun modo.

Ecco come avviene:

zero-day attack timeline

Una volta scoperto il virus, in pochi giorni o in ore, le case produttrici aggiornano i propri software antivirus e il virus può essere rimosso dagli elaboratori infettati.

Ormai però il danno è fatto.

Come si viene attaccati

Gli elementi usati per l’attacco sono:

  • il web browser con cui si può finire in siti malevoli o contraffatti
  • le applicazioni più diffuse: Microsoft Office, Adobe Flash, Java che possono presentare bachi sfruttati dagli hacker

Vengono quindi manomessi:

  • il sistema operativo del PC che diviene a sua volta pericoloso
  • le applicazioni che diventano veicolo di attacco
  • i dati presenti sui PC che vengono cifrati e quindi resi illeggibili a scopo di riscatto

Perché gli hacker lo fanno

Quando l'hacker e i virus chiedono il riscattoQualche anno fa la creazione e distribuzione di virus era portata avanti prevalentemente per divertimento.

Oggi esistono strutture create apposta per costruire di continuo nuovi virus con software che, 24 ore su 24, cercano la breccia per entrare nella vittima. Una statistica della Kaspersky riporta una media di 200.000 nuovi virus al giorno, ma era il 2013, ora sono in aumento.

Una volta trovata la breccia il virus sconosciuto e senza antidoto arriva sul PC ed esegue la cifratura di tutti i dati che trova allo scopo di ottenere un riscatto.

A quel punto fa apparire la scritta con la richiesta del riscatto, pagabile solitamente in bitcoin. Se l’utente paga il riscatto, forse, verrà ricevuta la chiave per decodificare tutti i propri dati.

Pagare o no il riscatto

Molti non accettano di pagare il riscatto e ripartono dalle copie, ma spesso i PC attaccati sono quelli che operano frequentemente scollegati dalla rete e quindi non hanno copie effettuate di recente.

Perché proprio quel tipo di PC? Lo vediamo poco più avanti.

Non basta il firewall?

Il firewall e tutti i sistemi di protezione perimetrale proteggono dagli attacchi che avvengono dall’esterno.

In questo tipo di attacco invece la parte attiva la fa l’utente, decidendo deliberatamente di essere attaccato: la porta viene aperta ai ladri dagli stessi utenti.

Come vengono saltate le protezioni

Hacker chiedono il riscattoTra il 2013 e il 2014 è emerso da una serie di ricerche che gli utenti direzionali e gli utenti della ricerca e sviluppo e progettazione sono quelli che sono configurati come amministratori del proprio PC.

Questo perché:

  1. gli utenti della direzione sfuggono al controllo degli addetti IT
  2. progettisti, ricercatori e tecnici effettuano frequenti installazioni di nuovi programmi

quindi, per comodità, hanno il proprio utente configurato come amministratore del PC o del Mac.

Ad aggiungersi a questa costante vulnerabilità, questi utenti operano spesso scollegati dalla rete perché spesso in viaggio, quindi non hanno i dati salvati sul server aziendale, ma direttamente sul PC.

In questa configurazione basta una distrazione, un click su un sito malevolo o su una email contenente uno zero-day attack che il PC viene cifrato ed i dati importanti persi irrimediabilmente.

Il metodo basilare di protezione

I PC così configurati sono aperti a qualsiasi minaccia, ecco perché c’è chi ha scritto: “anche il miglior antivirus è inutile“.

Il metodo fondamentale di protezione viene suggerito da questa ricerca che mostra come oltre il 90% delle minacce vengono risolte ponendo gli utenti dei PC in USER MODE.

Rimuovendo i privilegi amministrativi si evita la maggior parte degli attacchi.

Soluzione parziale e disagio per gli utenti

Quando il virus chiede il riscattoQuesto rimedio rappresenta una soluzione parziale per tre motivi:

  1. esistono programmi che partono anche in USER MODE
  2. lavorare in USER MODE arreca gravi disagi agli utenti perché molti programmi non funzionano se non come amministratore
  3. l’utente che viaggia frequentemente necessita di privilegi amministrativi per modificare il proprio ambiente, anche soltanto per installare una stampante o cambiare l’indirizzo IP della scheda di rete.

Immaginiamo un direttore che arriva a mezzanotte in una sede periferica dell’azienda e per collegarsi alla rete dati deve impostare un certo indirizzo IP statico e non può… Non vorrei essere nei panni del responsabile IT che ha (saggiamente) settato il PC in USER MODE al direttore.

Una soluzione sicura

Invece di continuare a far la gara di velocità contro gli hacker, occorre ragionare all’opposto di come si è ragionato finora.

Solo un sistema elastico di gestione in whitelist (sistema che esclude tutto quanto è sconosciuto) può offrire il livello di sicurezza che realmente serve, riducendo al minimo i rischi.

La postazione di lavoro può essere fissa o mobile, online o scollegata dalla rete aziendale, ma deve avere a bordo un sistema whitelisting adattivo per scartare tutto quello che non serve all’attività.

Se io lavoro ad esempio con Word, Excel, Chrome e SAP il sistema deve scartare qualsiasi altro programma che non sia Word, Excel, Chrome e SAP. Quindi virus, cavalli di Troia, malware ed altro vengono automaticamente esclusi.

Questo nuovo metodo di lavoro in whitelisting adattivo è in grado di adattarsi all’utente che deve, ad esempio, collegarsi una stampante senza ricorre al tecnico informatico ed è intrinsecamente sicuro. Non a caso sta diventando lo standard delle maggiori banche mondiali.

Lasceresti la tua bici col lucchetto aperto?

Probabilmente no, eppure lo facciamo costantemente con i PC che contengono dati importanti dell’azienda.

 

Photo credits: Flickr CC Henry Burrows

 

Sei interessato a quest'argomento?
Compila il modulo e ti ricontatteremo al più presto

Serverlab