Profilo Vendor Informazioni Contattaci Portale Download
 
    Informazioni
   Newsletter Symbolic
   Press Release
 
 
 
Negli ultimi mesi abbiamo assistito all’intensificarsi degli attacchi basati sul malware Cryptolocker e sulle sue varianti. Qui di seguito riportiamo alcune informazioni di carattere generale per conoscere e prevenire l’infezione.
 
Cryptolocker
Cryptolocker è un trojan di tipo ransomware: un malware che, una volta eseguito, cifra i documenti presenti sul disco fisso rendendoli inutilizzabili all’utente. Per sbloccare i file viene richiesto il pagamento di un riscatto. Se l'utente non effettuerà il versamento della quota richiesta, la chiave utilizzata per cifrare i suoi dati verrà definitivamente cancellata dai server degli autori di Cryptolocker rendendone impossibile il recupero. Tuttavia, in alcuni casi, anche pagando il riscatto è possibile che la chiave per decifrare i dati non venga inviata alla vittima.
 
Come si diffonde e perchè è difficile da rilevare
Cryptolocker utilizza solitamente comunicazioni che adottano strategie di social engineering: cerca cioè di ingannare gli utenti portandoli ad aprire documenti verosimili recapitati solitamente come allegati ai messaggi di posta elettronica e inviati da mittenti apparentemente legittimi. I file eseguibili vengono spesso zippati e l’estensione “mascherata”: non viene visualizzato come “nomefile.exe” ma “nomefile.pdf.exe”, “nomefile.docx.exe”, etc. Esistono anche altri metodi per indurre gli utenti a scaricare il malware, come ad esempio, mail di phishing in cui è contenuto un link, file doc o pdf al cui interno si possono trovare link, macro etc. Una volta eseguito il file, il sistema infettato inizia a cifrare i dati in locale e sugli share di rete.
In alcuni casi l'esecuzione non viene bloccata dal sistema di rilevazione antivirus semplicemente perchè quella scaricata dall'utente è una nuova versione del malware non ancora presente nelle signature. Quando gli autori di Cryptolocker iniziano a diffondere un nuovo set di mail contenente l'attacco, contestualmente creano una nuova versione di Cryptolocker per cifrare i file bersaglio. In questo modo, gli utenti che ricevono una nuova mail scaricheranno sempre una nuova versione del file testata per non essere rilevata dalla maggior parte dei software antivirus. L'infezione potrebbe non essere rilevata se l'esecuzione del file avviene nell'intervallo di tempo tra la prima diffusione del file e la creazione/rilascio/installazione locale della signature antivirus. Nel caso di Cryptolocker, l'accuratezza delle mail/documenti inviati e l'estrema rapidità con cui le nuove varianti vengono create, non sempre consentono ai vendor di essere sufficientemente veloci nel rilascio delle signature antivirus. Questi fattori portano sovente ad un'alta probabilità di infezione.
 
Come mitigare il rischio
- Gli utenti dovrebbero porre la massima attenzione alla natura degli allegati che decidono di aprire, in modo particolare al contenuto degli ZIP. Non dovrebbero aprire allegati con estensione .cab, .exe, .lnk. ecc. a meno di non essere estremamente sicuri che la mail sia reale.
- Effettuare frequentemente il backup (backup offline, o comunque non accessibile via rete con credenziali utente o nulle).
- Aggiornare frequentemente il database del proprio Antivirus, attivando dove possibile i controlli aggiuntivi: controllo delle applicazioni, controlli proattivi, protezione della navigazione e controllo della posta.
- Munirsi di soluzioni di controllo contenuti a livello gateway (UTM firewall, content security gateways) in modo da poter controllare/filtrare il contenuto del traffico mail o web.
- Inibire, ove possibile, la ricezione di file eseguibili nelle caselle di posta elettronica ed il download di eseguibili dal web. Questa operazione eleva notevolmente il livello di sicurezza della rete, senza interferire con l'attività quotidiana degli utenti che, in genere, non presuppone il download, l'installazione o l'esecuzione di file.
- Attivare funzionalità anti APT (Advanced Persistent Threat) sulle soluzioni di sicurezza. Queste possono rilevare agevolmente una nuova minaccia eseguendo preventivamente il file, su macchine virtuali remote al posto dell'utente, reagendo in base al comportamento riscontrato. Le soluzioni anti APT sfruttano gli automatismi di analisi e l'alta diffusione dei malware come Cryptolocker come arma per impedirne l'accesso alla vostra rete.
- Attivare, ove possibile, soluzioni avanzate di End Point Protection. Queste soluzioni sono in grado di rilevare potenziali malware ancora sconosciuti in base al comportamento dell'eseguibile sul sistema operativo nel quale venga eseguito il file. Ad esempio, varianti di Cryptolocker utilizzano sistemi di memory overflow che possono essere facilmente riconosciute da sistemi avanzati di End Point Protection.
- Implementare sistemi avanzati di Behaviour Analysis per capire quando, come e dove un'infezione di Cryptolocker si sta attivando in rete.
 
 
Per conoscere le soluzioni che possono aiutarti a proteggere i dati dei tuoi clienti contattaci (Tel. 0521 708811, email: sales@symbolic.it e support@symbolic.it)
 
 
 
 
Corsi di Formazione News Come Contattarci
 
  • 19/03 Corso entry level WithSecure Elements Vulnerability Management
  •  
  • Webinar WatchGuard Endpoint Risk Assessment - 27 marzo, ore 15:00
  •  
  • Contatti
  •  
  • 25/03 Corso WatchGuard Network Security - Cloud Managed
  •  
  • Symbolic diventa WithSecure Certification Authorized Training Center
  •  
     
  • 27/03 Corso entry level WithSecure Elements EPP+EDR
  •  
  • Scopri le soluzioni Grandstream
  •  
     
  • 08-09 e 15-16/04 Corso WatchGuard Network Security - Local Managed
  •  
  • Scopri le soluzioni Hillstone Networks
  •