La società francese di cybersecurity LEXSI ha da poco sviluppato quattro modifiche minori del sistema, definite come veri e propri vaccini contro i ransomware, volte a prevenire le infezioni Locky. La stessa società ha però specificato sul proprio blog che tali vaccini non sono efficaci contro l’attuale variante del famoso virus.
“Una modifica minore – ha scritto sul blog aziendale Sylvain Sarméjeanne, malware reverse engineer presso LEXSI – può essere la creazione di uno specifico mutex, di un registry key o una semplice modifica di un parametro di sistema che non causerà alcun inconveniente per l’utente. Un controesempio? All’inizio della sua esecuzione, Locky controlla il linguaggio del sistema e non infetta quelli configurati in russo: sarebbe quindi possibile impostare la lingua del sistema in russo per evitare di essere infettati, ma probabilmente ciò renderebbe difficile l’uso del sistema per molte persone che non conoscono quella lingua!”.
Nel post, l’ingegnere descrive Ie protezioni che includono le modifiche al registro di sistema di Windows o costringono il ransomware a utilizzare una chiave RSA pubblica o una chiave RSA danneggiata e sottolinea che questi vaccini vanno somministrati prima che il pericolo si verifichi.
Aggiornamenti automatici anti-ransomware
Al fine di gestire più facilmente questi antidoti, i ricercatori del Bitdefender Labs hanno creato un nuovo strumento che mette insieme i vaccini ransomware Locky creati da LEXSI con quelli realizzati precedentemente per proteggere dai pericoli di TeslaCrypt e CTB-Locker.
“In un certo senso – ha raccontato Alexandru Catalin Cosoi, chief security strategist di Bitdefender – il nuovo strumento è una conseguenza del programma creato da noi per vaccinare i PC dal trojan CryptoWall nel novembre del 2015”.
Quest’ultimo sistema è stato ritirato poche settimane fa perché l’azienda ha dichiarato di non poterne più garantire il buon funzionamento. Botezatu ha spiegato che Bitdefender lavorerà sulla nuova soluzione per sconfiggere le future versioni di ransomware: a differenza di quanto faceva il vaccino per CryptoWall (che richiedeva costanti aggiornamenti), il nuovo strumento promette di riconoscere nuove famiglie di cryptovirus grazie all’identificazione di comportamenti comuni e prevede la funzione di aggiornamento automatico, per garantire un livello di protezione maggiore a fronte di eventuali modifiche apportate al malware dai cybercriminali.
“Ogni volta che viene rilevata una nuova variante di ransomware che cerca di aggirare il vaccino – ha detto Botezatu – la analizziamo per vedere come interagisce con il sistema e poi aggiorniamo il vaccino di conseguenza”.
I dubbi degli esperti
Gli esperti concordano sul fatto che i vaccini ransomware in questione sarebbero utili per proteggere gli utenti, ma tutti si interrogano in merito alla durata e al ROI di tali protezioni. Travis Smith, senior security research engineer presso Tripwire, ha recentemente spiegato come questo tipo di protezioni possono essere considerate solo come soluzioni a breve termine: “Fare affidamento solo su questo tipo di vaccini – ha ribadito Smith – sarebbe come sperare di tappare con il piede una fessura su una barca che sta imbarcando acqua! Si tratta di una soluzione a breve termine su cui puntare mentre si cerca di risolvere davvero il problema con una approccio più ampio. I criminali informatici cambieranno sempre le proprie tattiche per infettare le macchine in maniera efficace”.
Smith ha aggiunto che anche se le organizzazioni con un livello maturo di sicurezza potrebbero avere interesse nel distribuire tali protezioni ai propri utenti, occorre ricordare che le fasi di test, distribuzione e correzione possono richiedere molto tempo ed essere piuttosto costose. Quella che può essere considerata solo una soluzione a breve termine, potrebbe quindi non garantire un ROI significativo per molte aziende che opteranno quindi per concentrare gli sforzi su altre strategie di sicurezza.
Tali approcci, infatti, possono proteggere con successo contro il singolo verificarsi di un preciso pericolo, ma le protezioni saranno poi rapidamente aggirate con successive iterazioni della minaccia:
“Quando un’azienda dà conferma pubblica di aver trovato il vaccino contro un determinato malware – ha commentato Günter Ollmann, chief security officer di Vectra Network – si può stare sicuri che i cybercriminali nel frattempo ne stanno già aggiornando e rilasciando una nuova variante…”.