Sicurezza connessa e centralizzata, la ricetta Trend Micro contro il ransomware

Dopo 5 anni da WannaCry, qual è lo stato attuale dei ransomware?

Modularità e integrazione al centro della piattaforma del vendor giapponese

Prosegue la serie di webinar Trend Micro dedicata al fenomeno ransomware, una delle minacce più temute da utenti e aziende. Nel secondo appuntamento dal titolo Sicurezza connessa e stratificata per una protezione completa contro il ransomware, l’obiettivo di Alberto Malerba, PreSales Engineer di Trend Micro, è quello di illustrare l’approccio del vendor per contrastare la minaccia. Non senza aver prima svolto un breve ripasso sulla natura dei ransomware e sulle modalità con cui ci si infetta. «I ransomware sono file eseguibili arrivati tramite spam, allegati con una macro, link pericolosi, breach causate da versioni non aggiornate di programmi, portali che mascherano siti legittimi per puntare target mirati» spiega Malerba. La maggior parte di coloro che clicca sullo spam lo fa per curiosità (34%); ma secondo i dati di una ricerca interna Trend Micro c’è anche una discreta fetta di utenti (27%) ingannata da link in qualche modo correlati all’attività svolta. Dati su cui riflettere. «Visto che nessun prodotto ancora lo fa, insegnare i comportamenti corretti agli utenti, non è mai tempo sprecato» scherza Malerba.

Per esempio non farebbe male conoscere meglio i passaggi che portano all’infezione. I ransomware in circolazione sono di varia natura. Il primo risale addirittura al 1989. Ma tutti più o meno rispettano un canovaccio noto. Avviato da uno script, il payload scarica un eseguibile in una delle directory del profilo utente, (C:\Users\NomeUtente\AppData\Roaming\Nomedelransomware.exe) creando al contempo una serie di chiavi di registro necessarie all’avvio del malware dopo il primo login dell’utente. In questa fase è importante individuare nome e percorso dei file infettati sia per ripristinare la macchina virata sia per prendere le opportune contromisure. «La location del contagio agevola l’implementazione di policy di blocco su una o più directory. Come quelle che impediscono l’installazione di qualsiasi programma nella cartella utente di Windows» conferma Malerba. Una volta in esecuzione, il malware cifra i file utilizzando una chiave di lunghezza variabile a seconda del ransomware. La generazione di uno o più file con le istruzioni per il recovery dei file infetti e il pagamento del riscatto, tipicamente bitcoin, chiude infine il cerchio.

Leggi anche:  Cloud, ancora tanta confusione

«Cedere al ricatto e pagare non dà nessuna garanzia di riguadagnare l’accesso ai documenti. Il ripristino dei file non è certo la preoccupazione principale di chi ha perpetrato l’attacco. Non aspettatavi da un criminale che sia anche onesto» ammonisce Malerba. Più probabile invece che una volta effettuato il pagamento, il malcapitato scarichi sul computer altro malware. Come con Cryptolocker. Naturalmente l’auspicio è di non arrivare mai sino a questo punto. Prevenendo il pericolo. «A ogni livello di minaccia corrisponde una tecnologia di difesa – precisa Malerba -. Serve protezione per bloccare il ransomware al gateway e-mail, sul web prima che raggiunga gli utenti; in corrispondenza dell’endpoint, a difesa del network aziendale e dei server. Per impedire che il malware si impadronisca dei dati più preziosi dell’azienda». Per raggiungere questa ampiezza nella protezione, Malerba suggerisce un approccio integrato e multilivello attraverso l’adozione di Connected Threat Defense, la piattaforma multistrato, connessa e centralizzata di Trend Micro. «Connessa perchè consolida la visibilità delle minacce e il controllo sulla rete aziendale. Centralizzando la gestione dei criteri di protezione in un’unica console dalla quale amministrare tutte le nostre soluzioni di sicurezza» conclude Malerba.