Cryptolocker, Bad Rabbit, NotPetya, virus ransomware e ctb locker… ammesso che fosse mai finito, ci risiamo, è di nuovo allarme contagio in tutta Europa e non solo. Da giorni si susseguono nuove notizie di aziende che stanno subendo attacchi e contagi telematici sempre più aggressivi e dannosi. Attacchi che, ancora una volta, sfruttano la mancanza di competenze in termini di cyber security, percezione del rischio e di aggiornamento dei sistemi IT all’interno di imprese di ogni dimensione. Il solito insomma, ma un solito che nuoce sempre più gravemente alla salute del business. Anche e soprattutto per questo, in esclusiva, Digital4trade, ha provato a fare il punto della situazione, chiamando in causa Giampaolo Dedola, security analyst del Great team di Kaspersky Lab, tra i massimi esperti di sicurezza in Europa. Dal confronto che segue è scaturita una intervista che è anche una guida pratica per capire un ransomware cos’è, come, dove e in che modo cominciare per provare a difendersi dai nuovi ransomware in arrivo, come sempre, a fine anno e, soprattutto per capire che cosa ci aspetta davvero. (A questo link comunque è possibile registrarsi all’evento streaming esclusivo che il prossimo 14 novembre Digital4Trade organizzerà con Kaspersky Lab per sviluppare una guida pratica contro i nuovi attacchi ransomware. Un evento senza precedenti che partirà proprio dai casi concreti di contagio per capi come funziona il “pizzo digitale” e quali sono gli obiettivi sensibili)
Dire che cosa ci aspetta a livello di cyber attacchi non è facile ma sicuramente possiamo dire che cosa non abbiamo saputo fare in passato e ancora oggi per fermare i ransomware, per esempio…
Indice degli argomenti
Ma perchè questi malware sono cosi efficaci e come vi spiegate il caso del nuovo allarme Bad Rabbit?
«I ransomware hanno avuto successo e continuano ad averlo perché sono facili da preparare e molto remunerativi. Inoltre consentono di richiedere il riscatto in cryptocurrency, evitando quindi circuiti monetari facilmente tracciabili. Sono così efficaci perché gli utenti non utilizzano le tecnologie già disponibili per contrastarli come ad esempio il Kaspersky Anti-Ransomware Tool (che è addirittura gratuito) o il Kaspersky Endpoint Security che include il System Watcher. Quest’ultimi sono strumenti che, analizzando il comportamento dei processi, sono in grado d’identificare quelli che si comportano come ransomware, bloccarli e ripristinare i file appena cifrati. Inoltre questi attacchi causano danni perché gli utenti non eseguono il backup dei propri dati e quindi non sono in grado di recuperarli se vengono criptati».
(Giampaolo Dedola sarà speaker esclusivo e d’eccezione in occasione dell’evento streaming che Digital4Trade terrà il prossimo 14 novembre. Un appuntamento unico per capire che cosa sta accadendo dopo l’allarme Bad Rabbit, quali sono le tipologie nuove di attacco e come difendere gli end point. Qui tutti i dettagli per registrarsi)
Cyber security, ma Bad Rabbit cos’è?
Bad Rabbit… di cosa si tratta e quanto è pericoloso questo malware? Come si sta diffondendo e cosa ha di diverso rispetto a Wannacry e NotPetya?
«Bad Rabbit, così come NotPetya, sono casi a sé perché sono ransomware non lanciati da criminali generici ma da esperti di attacchi mirati che hanno voluto sabotare alcuni network aziendali.
Bad Rabbit è stato distribuito attraverso attacchi di tipo watering hole, ovvero, gli attaccanti hanno compromesso vari siti web leciti e li hanno modificati in modo tale da distribuire un malware che si presentava come “Adobe Flash Player”, ma che in realtà eseguiva il ransomware.
La differenza principale tra Wannacry e Bad Rabbit/NotPetya sono i vettori di attacco, i target ed i presunti autori. Il primo è stato progettato per propagarsi sulla rete internet scansionando gli indirizzi pubblici alla ricerca di target vulnerabili, mentre i secondi sono stati lanciati contro target ben definiti e sono stati programmati per diffondersi solo nelle reti interne. Inoltre Wannacry presentava delle similarità nel codice che fanno presupporre un collegamento con il gruppo Lazarus, mentre NotPetya mostra alcune caratteristiche che fanno supporre un collegamento con un altro gruppo, BlackEnergy. Dato che Bad Rabbit presenta varie similarità con NotPetya, si presume che i due malware siano stati creati dagli stessi autori».
Industria 4.0 e soprattutto Intelligenza Artificiale basano la loro forza dirompente proprio sulla mole enorme di dati che riescono a gestire… quanto simili fenomeni complicano la situazione per chi “gioca” in difesa e quanto invece possono essere un valore aggiunto per trovare nuovi strumenti di protezione?
«L’intelligenza artificiale è soprattutto un vantaggio per chi si occupa di sicurezza informatica, in quanto l’elevato numero d’informazioni che dobbiamo analizzare quotidianamente è gestibile solo attraverso questo tipo di tecnologie. Sono particolarmente utili soprattutto per gli AV in quanto l’utilizzo di questi sistemi consente di ridurre sensibilmente il lavoro degli analisti e dare risposte più rapide contro sample dal comportamento palesemente malevolo».
Cyber security, ma cosa cercano gli hacker?
Ma cosa cercano oggi gli hacker e i cybercriminali e come lo cercano? Quali sono gli obiettivi più sensibili e deboli in questo momento? Quali le aziende meno protette?
«Gli hacker e i cybercriminali si possono distinguere in due gruppi: quelli che cercano vantaggi economici e quelli che vogliono vantaggi “politici” come ad esempio ottenere informazioni segrete su governi. Gli obiettivi più sensibili sono le infrastrutture critiche che a volte diventano gli obiettivi di attacchi mirati sponsorizzati da governi. Gli obiettivi più deboli sono invece le PMI che non hanno strutture di security adeguate, personale con le necessarie competenze tecniche e budget da poter dedicare al necessario adeguamento».
Proviamo comunque a guardare al 2018… sulla base di quello che è accaduto in questi mesi secondo te cosa ci aspetta e di cosa dobbiamo avere paura?
«Nel 2018 possiamo prevedere che la minaccia ransomware continuerà ad essere presente ed impatterà sempre di più dispositivi diversi dai PC, quali ad esempio gli smartphone.
Prevediamo inoltre altri attacchi mirati portati avanti attraverso l’utilizzo di tecniche anti detection e di deception. In particolare, è probabile che continueremo ad osservare l’utilizzo di strumenti leciti per finalità malevole e l’utilizzo di minacce che noi definiamo ephemeral malware, ovvero, che lavorano solo nella memoria RAM e non vengono mai salvate nel filesystem».