Come difendersi dai Cryptolocker virus: Watchguard + Lastline = APT Blocker

di Marco Menegazzi @marco_menegazzi

Il tema più caldo in ambito di sicurezza nel 2014 è stato sicuramente il fastidioso problema dei Ransomware, di cui il più famoso è il famigerato Cryptolocker.

I Ransomware sono un tipo di virus (o meglio di malware) il cui scopo è quello di impedire all’utente l’accesso ai propri file criptandoli (rendendoli quindi inaccessibili) e richiedendo al contempo un compenso in denaro per poterli sbloccare.

La prima differenza dai virus “classici” è proprio questa richiesta di riscatto (in inglese Ransom) che permette (in teoria) di accedere nuovamente ai propri dati pagando una somma, segno che la figura dell’hacker è passata negli ultimi decenni, dall’esperto di sistemi informatici con la voglia di provare le proprie capacità a discapito di qualche malcapitato, a vero e proprio malavitoso il cui fine ultimo è il guadagno. Se con le prime botnet questa imprenditorialità illegale era abbastanza velata (le informazioni venivano infatti vendute a terzi) con i ransomware la richiesta di pagamento è esplicita e diretta all’utente finale, senza mezzi termini.

Scendendo nel tecnico il funzionamento di questi malware è abbastanza semplice ma efficace: basandosi sul concetto di crittografia asimmetrica, i file accessibili dall’utente vengono crittografati con una chiave pubblica più o meno complessa e l’unico modo per poterla decriptare è usare la chiave privata in possesso dei creatori del virus. Il pagamento del riscatto permette (sempre in linea teorica) di ottenere questa chiave privata che verrà altrimenti cancellata rendendo i file inutilizzabili per sempre.

Un’altra differenza importante dai virus considerati “classici” è la mancanza di una firma (signature) che li identifichi univocamente, in quanto hanno la tendenza ad essere modificati di continuo, rendendo la vita difficile agli antivirus che invece si basano proprio sul riconoscimento della minaccia tramite signature. Un ulteriore concetto da sottolineare è quello dei cosiddetti “zero-day threats”: la velocità di espansione delle informazioni, unita ad un sempre crescente numero di device attaccabili, hanno portato all’esplosione del numero di minacce rendendo quindi impossibile identificarle tutte.

Quali sono quindi i metodi migliori quindi per difenderci da questi attacchi?

Partendo dal presupposto che una volta criptati i file non è possibile (se non in alcuni casi) decriptarli in alcun modo, l’attenzione dev’essere spostata alla prevenzione e alla salvaguardia dei dati ritenuti vitali per l’azienda. Il metodo principale per raggiungere questo obbiettivo è sicuramente effettuare i backup dei dati il più spesso possibile in modo da non rendere i file indispensabili avendone una seconda copia disponibile quasi istantaneamente.

Un altro strumento che ci permette di proteggere i nostri dati è quello di installare (oltre all’antivirus) un servizio di Advanced Persistent Threats in grado di identificare oltre ai più comuni virus, le zero-day threats e tutte quelle minacce non identificabili dai sistema antivirus basati su signature.

Watchguard, di cui T-Consulting è partner da molti anni, fornisce tra i sistemi UTM (Unified Threats Management) dei loro firewall un sistema di blocco degli Advanced Persistent Threats basato su una soluzione creata ad-hoc da Lastline, uno dei leader mondiali in ambito sicurezza informatica. La soluzione, che prevede un piccolo canone ulteriore a quello della Live Security degli altri sistemi UTM, funziona in sinergia con il sistema Antivirus a bordo dei firewall e si installa molto agilmente: una volta impostato il gateway antivirus nelle regole Proxy fornite dall’apparato, basterà andare ad attivare il flag all’interno della sezione APT per iniziare ad essere protetti.

L’APT di Watchguard si basa su una piattaforma cloud di proprietà di Lastline la quale si occupa di eseguire il codice del file in un ambiente sicuro (una sandbox) e di valutarne possibili conseguenze per l’utente finale. Quando un file viene “catturato” dal modulo APT, viene per prima cosa effettuato l’hash MD5 (viene tradotto univocamente in una stringa) e confrontato con il database online di Lastline: se questo file è già stato scansionato in precedenza viene deciso immediatamente se il file è buono o cattivo, altrimenti viene trasferito alla piattaforma Lastline, eseguito nella sandbox, valutato e poi aggiunto al loro database. Alla fine dell’esecuzione del file nella sandbox (questione di pochi minuti) il sistema genererà un allarme nel caso in cui il file venga definito potenzialmente malevolo.

Esistono tre livelli di severità della minaccia rilevata e per ognuna di queste possiamo decidere come comportarci: permettere il file, bloccarlo, chiudere immediatamente la connessione o metterlo in quarantena.

Questa è la soluzione che noi proponiamo ai nostri clienti.

E voi? Avete già un sistema per tutelarvi da queste minacce?

Se volete approfondire la conoscenza di questa soluzione, siamo come sempre a disposizione. Nel frattempo vi invito ad acquisire maggiori informazioni tramite il sito www.watchguard.com o leggendo questo documento https://www.watchguard.com/docs/datasheet/wg_apt-blocker_ds.pdf).