Cryptolocker, oltre l’antivirus

Se ti occupi di sicurezza, o se ti sei beccato un bel virus, probabilmente ti sei chiesto “ma perché gli antivirus non intercettano i CryptoVirus?” ossia se un antivirus serve ad intercettare le minacce dei virus, perché non riesce a fermare quelli che criptano i dati?

Le motivazioni sono diverse e su Internet puoi trovare parecchi articoli sul tema, di cui uno su questo stesso blog.

Fondamentalmente perché la tecnologia degli antivirus tradizionali basata sulle firme è morta, e su questo tema ci sono 3 considerazioni da fare o spiegazioni da dare.

Primo: gli antivirus non reggono il ciclo virus – firme – rilascio delle firme. Infatti gli antivirus tradizionali richiedono dei campioni di virus per poterli analizzare e quindi rilasciare degli antidoti, ossia individuare delle “firme” in grado di intercettare questi virus. Le firme devono essere rilasciate dal produttore, scaricate sui singoli server residenti negli uffici delle aziende e poi i singoli client potranno a loro volta aggiungerle al loro bagaglio di informazioni per contrastare i virus.
Questo ciclo va a una velocità determinata (più o meno veloce in base al produttore dell’antivirus) che è infinitamente più lenta della velocità con cui escono i nuovi virus.
Quindi non è una questione di bravura del produttore dell’antivirus, bensì di differenza di velocità: i virus vanno più veloci rispetto agli antivirus nel rilevarli. A ciò si aggiunge la considerazione che il malware oggigiorno colpisce pochi PC. Se quindi colpisce pochi PC, da parte del creatore dell’antivirus diventa difficile (e molto costoso) avere dei campioni per l’analisi.

Secondo: gli attacchi di oggi sono assolutamente sofisticati e intelligenti, questo vuol dire che sfruttano delle vulnerabilità presenti nei sistemi operativi o presenti nelle applicazioni.
E per utilizzare queste vulnerabilità nel sottobosco di Internet ci sono dei programmi e delle piattaforme per generare dei proprio virus e delle proprie varianti che non vengono intercettate dagli antivirus, come la piattaforma Ransomware 32.
La sintesi è che difficilmente un antivirus può porre una pezza se la “mancanza”  è del sistema operativo o di un’applicazione.

Terzo:  l’utilizzo delle tecniche di ingegneria sociale per il phishing è estremamente efficace. Gli hacker inviano determinate mail o determinati contenuti su Skype o Facebook a un gruppo ben preciso di persone e, siccome ne conoscono i gusti, è facile fare in modo che queste persone installino i virus cliccando sui link presenti all’intero delle email.

Quindi?

La sintesi di tutto questo è che ti puoi beccare un Cryptovirus come niente e con questo puoi mandare in fumo non solo i dati del tuo PC, ma anche i dati della tua azienda.

Ma c’è un altro modo per proteggerti, che va oltre l’antivirus (che è in ogni caso necessario)

Supponi per un attimo che esista una tecnologia che ogni 5 minuti fa una copia completa di sistemi operativi, applicazioni e dati dei server della tua azienda.
E ipotizza che con questa tecnologia ti basti un click del mouse per dare vita a queste copie fatte ogni 5 minuti, ossia che con un click possa far ripartire un server identico al tuo (5 minuti fa) senza che tu debba cambiare nulla all’interno della tua rete.

Se hai preso un Cryptolocker basterebbe un click e la tua azienda ripartirebbe esattamente come era prima di prendere il virus…

Fantascienza? No, la tecnologia esiste.