A minacciare la cybersecurity arriva una nuova versione dei ransomware capace di criptare dati senza essere presente sul PC.

Il mondo delle minacce alla cybersecurity è in continua evoluzione e gli addetti IT devono fare i conti con minacce sempre nuove. L’ultima novità è rappresentata dai ransomware fileless, una versione dei malware che evita l’installazione di nuovi elementi nel sistema operativo. Nel 2018, questa versione ha rappresentato il 35% degli attacchi totali.

Fondamentalmente questi ransomware sfruttano strumenti già presenti per eseguire il payload, per esempio cifrando i file dell’host del bersaglio. Il ransomware fileless più noto è Sorebrect, capace di iniettare codice maligno nel processo di sistema svchost.exe, sfruttando PsExec: il codice cifra i dati e poi passa alle share di rete, per poi cancellare ogni log e copia shadow. La peculiarità di questo malware è che, per non essere rilevato, si autodistrugge alla fine del processo.

Come si diffondono i ransomware fileless?

Proprio come i ransomware tradizionali, anche quelli fileless vengono trasmessi principalmente da:

  • E-mail phishing
  • Siti creati ad hoc per eseguire script maligni all’interno del browser

Quindi, la sostanziale differenza con la versione tradizionale è la capacità di essere difficili da rilevare, dato che l’attacco viene eseguito senza scrivere nulla sul disco. Inoltre, il ransomware difficilmente viene mantenuto nel sistema, visto che la sua presenza non è necessaria per cifrare i dati.

Dal momento che i principali sistemi di difesa sono pensati per rilevare malware file-based, i ransomware fileless hanno una probabilità di successo 10 volte più alta rispetto alle versioni tradizionali.

Come proteggersi

Ovviamente, prevenire l’azione di questi ransomware è molto più difficile e complicato, ma ci sono comunque alcune best practice che possono tornare utili:

  • Ricorrere al principio del privilegio minimo per quanto riguarda la creazione di utenti nella directory
  • Fare backup frequenti e avere un piano di disaster recovery
  • Aggiornare frequentemente i sistemi, visto che i ransomware sfruttano la presenza di criticità ed exploit
  • Informare gli utenti circa i pericoli presenti in Rete, spiegando come riconoscerli ed evitarli
  • Limitare i privilegi di PsExec, consentendo l’esecuzione ai soli amministratori informati