Cybersecurity: arrivano i ransomware fileless
A minacciare la cybersecurity arriva una nuova versione dei ransomware capace di criptare dati senza essere presente sul PC.
Il mondo delle minacce alla cybersecurity è in continua evoluzione e gli addetti IT devono fare i conti con minacce sempre nuove. L’ultima novità è rappresentata dai ransomware fileless, una versione dei malware che evita l’installazione di nuovi elementi nel sistema operativo. Nel 2018, questa versione ha rappresentato il 35% degli attacchi totali.
Fondamentalmente questi ransomware sfruttano strumenti già presenti per eseguire il payload, per esempio cifrando i file dell’host del bersaglio. Il ransomware fileless più noto è Sorebrect, capace di iniettare codice maligno nel processo di sistema svchost.exe, sfruttando PsExec: il codice cifra i dati e poi passa alle share di rete, per poi cancellare ogni log e copia shadow. La peculiarità di questo malware è che, per non essere rilevato, si autodistrugge alla fine del processo.
Come si diffondono i ransomware fileless?
Proprio come i ransomware tradizionali, anche quelli fileless vengono trasmessi principalmente da:
- E-mail phishing
- Siti creati ad hoc per eseguire script maligni all’interno del browser
Quindi, la sostanziale differenza con la versione tradizionale è la capacità di essere difficili da rilevare, dato che l’attacco viene eseguito senza scrivere nulla sul disco. Inoltre, il ransomware difficilmente viene mantenuto nel sistema, visto che la sua presenza non è necessaria per cifrare i dati.
Dal momento che i principali sistemi di difesa sono pensati per rilevare malware file-based, i ransomware fileless hanno una probabilità di successo 10 volte più alta rispetto alle versioni tradizionali.
Come proteggersi
Ovviamente, prevenire l’azione di questi ransomware è molto più difficile e complicato, ma ci sono comunque alcune best practice che possono tornare utili:
- Ricorrere al principio del privilegio minimo per quanto riguarda la creazione di utenti nella directory
- Fare backup frequenti e avere un piano di disaster recovery
- Aggiornare frequentemente i sistemi, visto che i ransomware sfruttano la presenza di criticità ed exploit
- Informare gli utenti circa i pericoli presenti in Rete, spiegando come riconoscerli ed evitarli
- Limitare i privilegi di PsExec, consentendo l’esecuzione ai soli amministratori informati