Come respingere con successo la minaccia più pericolosa in circolazione? Patching e svecchiamento dei sistemi sono misure importanti di protezione contro la minaccia rappresentata dal malware. Così come la riduzione dei servizi installati a quelli strettamente indispensabili al funzionamento dell’infrastruttura e la segmentazione della rete. Ma la vera prevenzione non può fermarsi qui
Lo scorso dicembre, il Comune di Milano ha varato una serie di misure per limitare le emissioni inquinanti dei mezzi di trasporto, introducendo lo stop graduale alla circolazione dei mezzi alimentati a diesel euro 3 su buona parte della rete viaria urbana. Il progetto, che mira all’eliminazione dalle strade di questi veicoli entro il 2020, prevede la creazione dall’ottobre prossimo della cosiddetta “low emission zone”, un’area all’interno della quale potranno circolare solo i veicoli conformi a una serie di standard ambientali. Oltre alle auto inquinanti però, in circolazione ci sono anche una gran quantità di computer datati, software e applicazioni: un pericolo sia per chi li utilizza sia per coloro che, pur disponendo di una macchina più aggiornata, hanno la sfortuna di essere connessi alla stessa rete. Pc che non possono essere “disconnessi” per legge.
Tra i bersagli a più alto rischio di malware ci sono proprio i computer incustoditi, collegati a una rete informatica, come ci spiega Massimiliano Bossi, channel sales manager di Check Point Software Technologies. Secondo una ricerca condotta da Duo Security, vendor di sicurezza statunitense con un discreto parco macchine sotto monitoraggio, le organizzazioni che impiegano sistemi operativi Windows e applicazioni obsolete superano quelle con un parco macchine più recente. Dal campione preso in esame, oltre un milione di computer (1,26), risulta che più di un decimo utilizza macchine sulle quali gira ancora Windows XP, mentre su più di un quinto, Internet Explorer (IE) non è aggiornato. Sui rimanenti computer, Windows 7 è il sistema operativo prevalente (65%), abbinato quasi sempre (98 per cento dei casi) a IE, a sua volta accoppiato a Java. Non solo. Nel 62 per cento dei browser censiti, è presente una versione non aggiornata di Adobe Flash. La maggior parte degli utilizzatori del campione, circa l’80 per cento, impiega IE 11; ma solo il tre per cento utilizza Edge.
Come sottolinea Walter Narisoni, sales engineer manager di Sophos Italia, troppo spesso si utilizzano dispositivi datati, facile preda di attacchi informatici, che sfruttano bug e carenza di patch. Un esempio classico è l’utilizzo di Windows XP, ancora molto diffuso. «Chi lo usa potrà contare sulla protezione Sophos fino a marzo 2019. I nostri esperti però consigliano caldamente di aggiornare i sistemi». Le vulnerabilità naturalmente non si limitano ai sistemi operativi di casa Microsoft. Infatti, non occorre la sfera di cristallo per ipotizzare che su molte delle macchine con sistema operativo XP, la versione utilizzata di IE non sia la più aggiornata, e neppure che, sulla stragrande maggioranza di quelle che utilizzano Windows 7, il browser installato rientri tra le versioni non più supportate da Microsoft (8,9 e 10), accoppiato magari a Java, altro vettore conclamato di attacchi. Oppure a Flash, “protagonista” – se così possiamo dire – della spettacolare epidemia di Locky dello scorso anno. «Se guardiamo al ciclo ransomware/malware, gli exploit kit vanno alla ricerca di vulnerabilità note e non, all’interno di sistema operativo, applicazioni e software. Per gli utenti che non si avvalgono di versioni aggiornate, la possibilità di essere colpiti è sicuramente più elevata» – concorda Florian Malecki, international product marketing director di SonicWALL. «Gli sviluppatori rilasciano regolarmente aggiornamenti per queste vulnerabilità. Spesso però – come rileva Morten Lehn, general manager Italy di Kaspersky Lab – «gli utenti non li installano, esponendosi così a gravi pericoli». Kaspersky Lab si impegna costantemente per migliorare la protezione degli utenti dai ransomware, offrendo, per esempio, la soluzione gratuita Kaspersky Anti-Ransomware Tool che protegge i dati sensibili delle aziende. Inoltre, è tra i fondatori del progetto “No More Ransom”, che vede forze dell’ordine e vendor di sicurezza uniti per combattere i ransomware e aiutare gli utenti a riottenere i propri dati.
In tutti i casi, la diffusione di programmi e applicativi non patchati rimane alta. «Spesso si tratta di semplice imperizia degli amministratori di sistema» – afferma Lino Fornaro, esperto di sicurezza e membro del direttivo di CLUSIT, l’associazione italiana per la sicurezza informatica. «In altri casi, si tratta di un problema di dimensionamento e di funzioni relegate al reparto IT, che non consentono un intervento rapido, determinando così una finestra temporale più o meno ampia dal momento in cui è disponibile una patch a quello in cui viene applicata». Talvolta, ad accentuare la diffusione del fenomeno, è l’utilizzo di applicazioni legacy. Mentre in altre situazioni, sono i costi di aggiornamento dell’applicazione a far pendere la decisione verso il rinvio del passaggio a una versione più sicura del software. «Qualche volta la causa sta nella criticità delle applicazioni che dovrebbero essere patchate o dei sistemi che le ospitano. Oltre che nell’incompatibilità di talune applicazioni critiche su sistemi operativi più recenti, che ne impediscono la migrazione» – continua Fornaro. «E allo stesso modo, gioca un certo peso, anche il timore di interrompere un servizio critico, rischiando un disservizio proprio a causa della patch».
PREVENZIONE E ANCORA PREVENZIONE
Patching e svecchiamento dei sistemi sono misure importanti di prevenzione. Ma non possono essere le uniche. Come sa bene l’IT, il primo problema del malintenzionato è quello di guadagnare l’accesso ai sistemi aziendali, sfruttando per esempio i servizi esposti verso l’esterno (Internet, web application, FTP, etc.). Una misura irrinunciabile di prevenzione perciò sarà quella di cercare di mitigare l’esposizione. Come? In primo luogo, attraverso l’implementazione di una DMZ, una rete più piccola situata tra quella interna e Internet, dentro alla quale l’organizzazione installa i propri web server, che consenta l’accesso al sito web aziendale, impedendo al contempo l’accesso dall’esterno ai dati della rete aziendale. La mappatura della DMZ – cioè il perseguimento della più ampia visibilità sui servizi attivi esposti in rete, e il censimento del software e degli asset (chi controlla cosa) – consente in prima battuta di monitorare il grado di esposizione dell’azienda verso l’esterno e di focalizzarsi su quelli davvero necessari. Riducendo il numero di servizi esposti su Internet, si assottiglierà la superficie d’attacco disponibile. Inoltre, una mappatura preliminare ben fatta renderà la scansione periodica delle vulnerabilità più calibrata, agendo positivamente anche sulla remediation (istruzioni su come risolvere le problematiche identificate).
Qualora l’autore dell’attacco riesca a superare queste difese, una corretta segmentazione della rete – basata sull’analisi delle esigenze di comunicazione tra business unit – dovrebbe impedire all’aggressore di muoversi indisturbato all’interno del network. Altrettanto importante, è l’implementazione di regole di filtering sul firewall in ingresso e in uscita, estese anche agli host. Segmentare richiede coordinamento e pianificazione. Soprattutto perché spesso le reti crescono in modo disordinato. Pressati dalla fretta di integrare nuove capacità (hardware, software, etc.) nel più breve tempo possibile, si finisce infatti per non tenere conto dell’aspetto sicurezza. Inutile dire che le reti aziendali sempre più complesse e che presentano poca o nessuna segmentazione tra business unit (flat), sono in balìa di minacce e malintenzionati. «L’hardening, cioè la riduzione dei servizi installati a quelli strettamente indispensabili e la loro configurazione “sicura”, è un’ottima pratica per limitare le esposizioni. Allo stesso modo, la segmentazione aumenta il grado di sicurezza per via della limitazione della visibilità e degli accessi tra diversi segmenti di rete, consentendo almeno di governarne il traffico. Anche se va detto che per la particolarità del ransomware si tratta di misure importanti ma non sufficienti» – avverte Fornaro di CLUSIT.
TECNICHE D’EVASIONE
Satana è un ransomware sviluppato per colpire le macchine Windows. Prima critta i file dell’utente e poi aspetta pazientemente il primo riavvio del pc per crittare l’MBR (Master boot record). In tal modo, il malware impedisce il caricamento del sistema operativo, rendendo di fatto inutilizzabile il computer. Satana non è il primo ransomware a infettare l’MBR. Petya, una variante dello stesso ceppo, agisce con modalità simili. Ma con una peculiarità, quella di crittare la chiave MFT (Master file table) residente nella partizione NTFS, che registra tutte le informazioni relative all’allocazione di file e cartelle nel pc. Sappiamo dell’esistenza di malware programmato per cancellare i file a intervalli regolari per sollecitare le vittime a pagare in fretta la richiesta di riscatto. È il caso di Jigsaw che cancella in automatico un file crittato, rendendolo irrecuperabile, anche se nel frattempo si è provveduto al pagamento; oppure di variazioni dello stesso ceppo, che procedono alla cancellazione di un certo numero di file ogni volta che il pc viene riavviato. Altre varianti invece cancellano i file subito dopo il pagamento del riscatto. Con buona pace degli sprovveduti che cedono al ricatto. Ci sono poi ransomware in grado di crittare i drive di rete, compresi quelli non mappati.
DMA Locker, il già citato Locky, Cerber e CryptoFortress, sono programmati per enumerare tutte le share di rete basate su SMB, (Server message block) – un protocollo utilizzato per condividere file, stampanti e porte seriali tra diversi nodi di una rete – crittandole. La peculiarità di Maktub invece è quella di comprimere i file per velocizzare al massimo il processo di crittazione dei dati. Esistono ransomware che incorporano anonimizzatori del traffico, TOR per esempio, per eludere il tracciamento. Altri ancora hanno la capacità di autoreplicarsi e creare varianti nuove, mantenendo inalterate una o più peculiarità dannose (polymorphic behavior). L’inventiva non manca di certo a chi scrive malware. «Nel 2017, prevediamo la crescita del “Ransomware delle cose” (RoT), in altre parole, la possibilità che i criminali informatici violino i dispositivi, in particolare quelli delle reti domestiche, chiedendo il pagamento di un riscatto per permettere agli utenti di tornare a prenderne il controllo» – conferma Luca Sambucci, operations manager di ESET Italia. L’evoluzione del malware oltre che dal punto di vista tecnologico riguarderà la componente culturale e comportamentale, dando vita a fenomeni di «pizzo digitale» – come afferma Carla Targa, marketing and communication manager di Trend Micro Italia.
COME RISPONDERE ALLA MINACCIA?
Il ransomware, in continua evoluzione, richiede soluzioni di sicurezza specifiche. Negli anni, le tattiche impiegate dal malware per eludere l’antivirus, mantenendo anonima la fonte dell’infezione (una tecnica conosciuta come Fast Flux), sono cambiate. La comunicazione tra il ransomware e i server Command & Control (C&C) avviene sempre più spesso in maniera crittata, rendendo ancora più difficile la decifrazione del contenuto anche quando si riesce a intercettare i pacchetti in transito sulla rete. Grazie all’efficacia di questa e di tutte le tecniche d’evasione che abbiamo visto, il ransomware letteralmente scompare dai radar dell’antivirus. La prova sono le sempre più frequenti segnalazioni ai vendor da parte dell’IT di malware non riconosciuti dagli strumenti tradizionali. Perché il codice sia congegnato in questo modo non è difficile da intuire. Si vuole che rimanga il più a lungo possibile silente dentro alla macchina compromessa, fino a quando cioè non diventa possibile sfruttare una certa vulnerabilità per poi far partire l’attacco, e così prolungare nel tempo l’estrazione di dati. «I malware più sofisticati sono in grado di autoadattarsi all’ambiente in cui vengono inseriti, attraverso meccanismi di autolearning e di autoconfigurazione che rendono poco efficace la sola protezione tramite pattern matching» – ci spiega Antonio Madoglio, SE manager di Fortinet Italia. «Di conseguenza, agli strumenti di sicurezza tradizionali si rende necessario affiancarne altri in grado di analizzare il comportamento in rete e circoscrivere le anomalie in maniera efficace». In altre parole, bisogna essere pronti a reagire anche in quei casi in cui il link malevolo non viene rilevato, oppure quando non è possibile testare i file nella sandbox per rilevarne la pericolosità. «Contro malware con queste caratteristiche, definito “zero-day”, per il quale non esistono signature o elementi che lo possano identificare, tocca ai sistemi ATP rilevarne la presenza sia in funzione del loro comportamento a livello di sistema sia a livello di connessione in rete. Peculiarità – continua Madoglio – che rendono queste tecnologie una delle nuove frontiere per chi produce sistemi di sicurezza intelligenti».
E che sono in netta contrapposizione agli antivirus tradizionali, basati sulla firma, che rilevano solo le minacce conosciute. «Per questo, oggi gli hacker prendono sempre più spesso di mira soprattutto gli endpoint, con attacchi zero-day sofisticati, condotti da varianti elusive dei malware CryptoWall e CryptoLocker» – mette in evidenza Bossi di Check Point Software Technologies. «È indubbio che il ransomware sia in costante evoluzione. E per questo, diventa imprescindibile avvalersi di soluzioni di sicurezza specifiche che vadano oltre l’antivirus tradizionale» – fa notare Narisoni di Sophos Italia. «L’antivirus è solo uno dei livelli di protezione, parte integrante di un processo di prevenzione attiva che dovrebbe prevedere anche la cura della propria infrastruttura IT» – concorda Giulio Vada, country manager di G DATA Italia. Oggi, si parla di attacchi multivettore, una combinazione di social engineering, botnet, exploit, oltre ai canali consueti delle mail e del “drive-by downloading”. Una minaccia che non sembra spaventare Fabrizio Cassoni, sales engineer di F-Secure Corporation che suggerisce di contrapporre un mix di tecnologie e metodi come la scansione algoritmica, l’analisi euristica, comportamentale, in sandbox, il controllo di reputazione cloud-based. «Lavoriamo per diminuire la superficie d’attacco, gestendo gli aggiornamenti del sistema operativo e degli applicativi sull’endpoint, oltre a verificare l’affidabilità dei siti a cui l’utente si connette». L’importante insomma è che sia chiaro che una soluzione capace da sola di impedire il contagio dal ransomware ancora non c’è.
Per questo, come rileva Fornaro di CLUSIT, bisogna mettere in campo una serie di misure su più livelli, mettendo in conto l’eventualità che possano fallire. Si tratta di costruire una difesa a strati che possa ridurre il numero e la tipologia di attacchi, facendosi trovare pronti al cospetto di malware in grado comunque di andare in esecuzione sulla macchina. «Se il ransomware entra in azione – continua Fornaro – gli strumenti di difesa più efficaci sono quelli che si basano sulla behaviour analysis a livello di endpoint, coadiuvati se necessario da tool di analisi del traffico di rete. A queste condizioni, misure quali l’hardening e la segmentazione aiutano senz’altro a limitare i danni». Così come aiuta adottare alcuni semplici accorgimenti nel riprogettare la rete interna. «Sicuramente è più difficile disattivare le “copie shadow” su una condivisione in rete invece che su una cartella in locale. Di conseguenza, sarà più agevole recuperare i file cifrati su una cartella in rete. Generalmente il malware disattiva le copie shadow sul computer infettato ma non sulle macchine raggiunte via rete». Un altro fattore determinante di contrasto alle infezioni è la tempestività dell’intervento. La capacità cioè di rilevare velocemente lo svilupparsi di un attacco, guadagnando tempo prima che il ransomware infetti i dati più importanti. «Per esempio, si può provare a dare in pasto al malware un vecchio pc pieno di GB di dati inutili» – suggerisce Fornaro. «Basta condividere il disco di questo pc e montarlo sulle macchine del network, connettendolo come una unità di rete in modo che sia raggiungibile dal ransomware e inizi a cifrarlo. Poi basterà impostare un banale confronto di hash sui file della root di questa condivisione e generare allarmi in caso di rilevazione di modifiche ai file di questa macchina». Una tecnica semplice ed efficace per tendere una trappola al ransomware, guadagnare tempo e riuscire a mettere in sicurezza le macchine non ancora infette, isolando al contempo quelle colpite.
ALTRE TECNICHE DI DIFESA
Come sa bene l’IT, la gestione di permessi e condivisioni su file e cartelle tra più business unit tende a raggiungere in poco tempo un elevato livello di complessità. La regola di assegnare il minor privilegio nella condivisione di file previene la compromissione della singola utenza di rete. Un accorgimento, che protegge dallo sfruttamento di account compromessi di una o più business unit. Anche quando la sicurezza delle password non è all’altezza, aumenta il pericolo che un account compromesso possa essere utilizzato da chi attacca per fare incetta di credenziali di accesso alle condivisioni di rete di file. «Le vie di accesso sfruttate dal ransomware sono molteplici. Ma indipendentemente dal vettore, gli effetti del malware dipendono molto dalle credenziali con cui va in esecuzione» – spiega Fornaro. «Dalla visibilità e dai privilegi di accesso connessi alle credenziali dipendono il numero dei computer e degli eventuali supporti di backup online (NAS, etc.) che è possibile infettare. Infatti, il malware che va in esecuzione trascina con sé gli stessi privilegi di chi esegue il payload». Assegnando ai propri collaboratori i privilegi amministrativi necessari alla funzione ricoperta, parte del problema viene risolto alla radice. Attenzione infine, a non lasciare attivi servizi non necessari. CryptoLocker, solo per fare un esempio, ha provocato i danni che conosciamo, facendo leva anche sull’RDP (Remote desktop protocol), l’utility di Windows che consente l’accesso da remoto al desk del computer. Si tratta di accorgimenti, semplici indicazioni – rileva Fornaro – che anche una piccola impresa con un budget per la sicurezza risicato può mettere in campo. Misure che però possono fare la differenza tra un attacco che va a buon fine e uno sventato. Forse è banale dirlo, ma se il cattivo di turno trova un muro abbastanza alto è plausibile che abbandoni il campo per ripiegare su un obiettivo più abbordabile. «L’importante – raccomanda Fornaro – è non perdere di vista che una corretta politica di backup abbinata a procedure efficienti di verifica degli strumenti a supporto del salvataggio dati rimane l’arma migliore a disposizione dell’azienda per assicurarsi la disponibilità dei dati nel malaugurato caso in cui il ransomware riesca ad aggirare tutte le difese».
Il backup va impostato con frequenza almeno giornaliera e in modalità offline, su supporto non connesso in rete e archiviato in un’altra sede, come ricorda Luca Sambucci di ESET Italia. Laddove invece sia presente anche un backup in linea, quest’ultimo non deve essere accessibile con le credenziali degli utenti in rete, e dunque non potrà essere cifrato (perché non accessibile). Inoltre, è consigliabile – suggerisce Fornaro – «sistemare il NAS dietro a un’interfaccia diversa del nostro firewall per renderlo così non visibile al ransomware, facendo in modo che sia lo stesso dispositivo NAS a recuperare i file da copiare e non viceversa, e utilizzando credenziali differenti per i salvataggi su NAS». Adeguate precauzioni vanno adottate anche qualora si decida di effettuare i backup in cloud. Infatti, alcune versioni di ransomware in circolazione sono in grado di cancellare o sovrascrivere i dati salvati sulla nuvola. «Avere una copia dei dati anche in cloud, è sicuramente una misura di tutela per la disponibilità dei dati. Attenzione però a non confondere un cloud backup con la sincronizzazione delle cartelle su Dropbox» – mette in guardia Fornaro. «I responsabili IT devono occuparsi della corretta gestione, manutenzione e protezione del loro parco macchine. E allo stesso tempo, è importante disporre di sistemi di protezione sempre aggiornati per essere pronti a contrastare le ultime minacce» – afferma Carla Targa di Trend Micro Italia. «La tecnologia antivirus che entra in azione per prima rimane il cervello. Per questo è indispensabile formare il personale ed educarlo a reagire in maniera corretta davanti ai possibili rischi e a navigare in maniera sicura». Per non mettere in pericolo sé stessi e gli altri.