Cosa sono gli attacchi fileless e come difendersi

Ascolta l'articolo

Il pericolo nascosto è in realtà davanti ai nostri occhi: i rischi che le applicazioni possono comportare

Quando si pensa alle minacce informatiche, la prima cosa che viene in mente è il malware. Sicuramente, se questo si insinua nella rete IT di un’azienda, può causare gravi danni. All’inizio del 2019, un malware ha infettato i server di una banca maltese, causando una perdita di 13 milioni di euro, mentre i ransomware, che criptano i file delle sue vittime per chiedere un riscatto, hanno causato il caos in grandi aziende a livello mondiale.

Ma le minacce informatiche possono anche provenire dall’interno di un’azienda; i cosiddetti ‘insider’ possono causare una lunga lista di problemi di sicurezza IT. Il costo medio di questo genere di minaccia è di oltre 10 milioni di euro. Lungi dall’essere un problema isolato, questi incidenti sono aumentati del 47% nell’ultimo anno e coinvolgono un dipendente che mette in pericolo la sicurezza informatica della propria azienda, sia intenzionalmente che accidentalmente. Tuttavia, c’è un altro elemento interno che, a prima vista, non sembra essere motivo di preoccupazione.

Applicazioni legittime nelle mani degli hacker

L’uso illegittimo di applicazioni per scopi malevoli è una delle tendenze più diffuse della criminalità informatica. Queste minacce “fileless” sono aumentate del 94% nel 2018 e sono stati tre volte più frequenti dei ransomware. Tali attacchi sfruttano applicazioni già esistenti su sistemi operativi come Microsoft Office, WMI o Adobe per rubare dati e danneggiare il sistema della vittima.

Anche se la natura di questi attacchi varia, essi sono specificamente progettati per non scrivere su disco rigido ma per essere eseguiti dalla memoria del computer (RAM). Per i sistemi di protezione tradizionali è impossibile rilevare la minaccia, in quanto sul disco rigido non sono presenti file dannosi o potenzialmente pericolosi.

Leggi anche:  Kaspersky rileva MontysThree, un nuovo toolset utilizzato per lo spionaggio industriale

C’è una caratteristica che tutti questi tipi di incidenti hanno in comune: sono molto difficili da rilevare. Ciò è dovuto al fatto che gli attacchi non utilizzano alcun tipo di codice e i classici antivirus non sono in grado di identificarli. Inoltre, l’uso di processi e applicazioni legittime rende praticamente impossibile individuare comportamenti anomali.

Oltre a queste analogie, le minacce “fileless” condividono spesso i vettori d’ingresso. Tra i più comuni vi sono le applicazioni di accesso remoto, gli strumenti amministrativi e i componenti del sistema operativo interno.

Le minacce avanzate richiedono una tecnologia avanzata

Dato che gli attacchi “fileless” sono così difficili da individuare, cosa si può fare per fermarli? Un modo per affrontarli è smettere di utilizzare gli strumenti – per esempio PowerShell – che i criminali informatici tendono a sfruttare in queste situazioni, chiudendo così i potenziali vettori di entrata. È inoltre fondamentale conoscere in ogni momento i processi in funzione su tutti i computer dell’azienda. La soluzione Panda Adaptive Defense 360 di Panda Security garantisce il monitoraggio di tutte le attività sul sistema informatico. In questo modo, è in grado di bloccare qualsiasi attività sospetta.

Queste minacce sono un pericolo costante per le aziende e gli hacker hanno molti modi per sfruttare le applicazioni legittime sul sistema.