Crittografia intermittente, il nuovo approccio degli attaccanti al ransomware

Negli anni i gruppi che attaccano le aziende tramite ransomware hanno evoluto le loro tecniche, introducendo la doppia estorsione e tripla estorsione, così da avere maggiori probabilità di vedere pagato il riscatto, anche nel caso i tecnici riuscissero a ripristinare velocemente i sistemi dai backup. Anche le contromisure si sono fatte col tempo più efficaci e le più evolute soluzioni oggi disponibili sono in grado di individuare i tentativi di cifratura dei file, bloccandoli alle prime avvisaglie ed evitando così che l'infezione si diffonda a tutta l'infrastruttura.

C'è però una nuova tecnica che stanno utilizzando gli attaccanti per mascherare le loro attività: la crittrografia intermittente. 

Veeam lancia l'allarme: occhio alla cifratura intermittente

I ricercatori di Veeam hanno individuato una nuova tattica usata dai criminali informatici, la cifratura intermittente. Il concetto è molto semplice: visto che la cifratura dei file è un'operazione impegnativa, che mette sotto sforzo le risorse di calcolo dell'infrastruttura, è relativamente semplice individuare tentativi di attacco ransomware anche solo analizzando improvvisi picchi di carico delle CPU. Se rilevati, i tecnici delle aziende sono in grado di bloccare tempestivamente gli attacchi, riducendo enormemente i danni.

I criminali hanno quindi escogitato un nuovo metodo che non cifra tutti i dati, ma si limita ad alcune parti dei file, utilizzando anche attacchi di tipo fileless (cioè senza scaricare alcunché sui dischi dei computer violati) per ridurre il rischio di intercettazione. Così facendo, riescono a mantenere bassa l'occupazione dei processori, rendendo più difficile il rilevamento e allo stesso tempo creando gravi danni: è infatti sufficiente cifrarne solo una porzione per rendere un file irrecuperabile, a meno di avere la chiave. 

La migliore protezione rimane la prevenzione

Come sottolineano gli esperti di Veeam, oggi il ransomware è una vera e propria industria, con vari gruppi criminali che si occupano di vari aspetti. C'è chi va alla ricerca delle vittime, chi si occupa di trovare il modo di accedere ai sistemi e comprometterli, chi gestisce le negoziazioni con le vittime. E utilizzano spesso più tipi di attacchi contemporaneamente, così da massimizzare la possibilità di successo. 

Il modo migliore per proteggersi secondo Veeam (ma non solo) è tutto sommato semplice: aggiornare e patchare regolarmente servizi e applicazioni. Questo perché la maggior parte degli attacchi ha successo proprio perché fanno leva su vulnerabilità note ma non ancora corrette. A parole è semplice, ma nella realtà non è così scontato, sia perché le infrastrutture più complesse includono migliaia di servizi, sia perché in certi casi riavviare un server per aggiornarlo interromperebbe le operazioni. 

Fondamentale quindi prevedere anche una valida strategia di backup, come la 3-2-1, che prevede tre copie di sicurezza dei dati su almeno due supporti differenti e una delle quali off-site.