I cybercriminali attivano intenzionalmente la cifratura remota negli attacchi ransomware

 Sophos, leader globale nell’innovazione e nell’erogazione della cybersicurezza as-a-service, ha pubblicato il report dal titolo “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” nel quale viene evidenziato come i gruppi più attivi e prolifici nel comparto del ransomware – AkiraALPHV/BlackCatLockBitRoyal, Black Basta – stiano deliberatamente modificando i loro attacchi facendo ricorso a tecniche di cifratura remota. Negli attacchi di questo tipo, noti anche come ransomware remoto, i malintenzionati sfruttano un endpoint compromesso e spesso poco protetto per cifrare i dati presenti su altri dispositivi connessi alla medesima rete.

Sophos CryptoGuard è la tecnologia anti-ransomware acquisita da Sophos nel 2015 e compresa in tutte le licenze Sophos Endpoint. CryptoGuard tiene sotto controllo la cifratura illecita dei file implementando funzionalità di protezione e rollback immediate, anche quando il ransomware non compare mai su un host protetto. Questa esclusiva tecnologia anti-ransomware, che rappresenta l’ultima linea di difesa nella protezione stratificata degli endpoint proposta da Sophos, entra in funzione solamente quando un cybercriminale la attiva in una fase successiva della catena di attacco. CyptoGuard ha rilevato un incremento annuale del 62% negli attacchi compiuti intenzionalmente con tecniche di cifratura remota rispetto al 2022.

“Le aziende possiedono migliaia di computer connessi insieme e, con il ransomware remoto, basta un solo dispositivo insufficientemente protetto per compromettere l’intera rete. I malviventi lo sanno, per questo vanno a caccia di quell’unico punto debole. La cifratura remota è una minaccia destinata a radicarsi e, sulla scorta degli allarmi che abbiamo osservato, è un metodo di attacco in costante crescita”, ha dichiarato Mark Loman, vice president, threat research di Sophos e and co-autore di CryptoGuard.

Poiché questo tipo di attacco comporta la cifratura dei file da remoto, i metodi anti-ransomware tradizionali implementati sui dispositivi remoti non “vedono” i file pericolosi né le relative attività, non riuscendo quindi a proteggerli dalle cifrature non autorizzate e dalle potenziali perdite di dati. La tecnologia Sophos CryptoGuard, invece, sfrutta un approccio innovativo alla neutralizzazione del ransomware remoto analizzando cioè i contenuti dei file per controllare eventuali azioni di cifratura dei dati allo scopo di rilevare le attività ransomware su qualsiasi dispositivo collegato alla rete, anche qualora su tale dispositivo non sia presente malware.

Nel 2013 CryptoLocker è stato il primo ransomware a usare questa tecnica accompagnata da cifratura asimmetrica, la cosiddetta crittografia a chiave pubblica. Da allora gli attaccanti sono riusciti a diffondere l’uso del ransomware grazie alla diffusa presenza di punti vulnerabili nella sicurezza delle aziende di tutto il mondo e all’avvento delle criptovalute.

“Quando ci siamo accorti che CryptoLocker usava la cifratura remota, dieci anni fa, avevamo previsto che tale tattica sarebbe diventata una vera sfida per chi si deve difendere. Altre soluzioni cercano di rilevare il codice illecito nei file binari o in fase di esecuzione, ma nel caso della cifratura remota il malware risiede e viene eseguito su un computer non protetto, differente da quello di cui si intendono criptare i file. L’unico modo per fermare l’attacco è quello di monitorare i file e proteggerli. Ecco perché abbiamo innovato CryptoGuard”, ha aggiunto Loman, vice president, threat research di Sophos e and co-autore di CryptoGuard.

“CryptoGuard non va alla ricerca del ransomware, ma si concentra esclusivamente sui suoi obiettivi principali: i file. La soluzione applica controlli matematici ai documenti evidenziando i segni di manipolazione e cifratura. È importante notare come l’efficacia di questa strategia autonoma non dipenda da indicatori di avvenuta violazione, da signature delle minacce, dall’intelligenza artificiale, da ricerche nel cloud o da conoscenze preventive. Focalizzandosi sui file possiamo cambiare il rapporto di forza tra attaccanti e difensori. La soluzione aumenta i costi e la complessità che i malintenzionati devono affrontare per cifrare i dati, facendogli abbandonare gli obiettivi. Tutto questo è parte della nostra strategia di approccio asimmetrico alla difesa. Il ransomware remoto è un notevole problema per le aziende e sta contribuendo alla longevità del ransomware in generale. Considerando che leggere dati attraverso una connessione di rete è più lento rispetto alla lettura da disco locale, abbiamo visto che gruppi come LockBit e Akira si limitano a cifrare strategicamente solo una frazione di ciascun file. Questo approccio intende massimizzare l’impatto in tempi minimi riducendo ulteriormente la finestra temporale nella quale è possibile accorgersi dell’attacco in corso e reagire di conseguenza. L’approccio Sophos alla tecnologia anti-ransomware blocca sia gli attacchi remoti che quelli che cifrano solamente il 3% di un file.”.