White Paper

CHE COSA DEVI SAPERE SUI RANSOMWAREE COME BITDEFENDER TI AIUTA A RESTARE AL SICURO

[2]

White Paper

Con pirati informatici che guadagnano milioni di dollari, se non addirittura miliardi, dalle richieste di riscatto, i ransomware sono all'unanimità riconosciuti come una delle maggiori minacce per le aziende di oggi.

Ironicamente, il principale costo stimato non è tanto l'ammontare del riscatto quanto l'interruzione dell'attività che viene causata1, perciò non è così sorprendente che solo un terzo delle aziende crede di potersi riprendere da un attacco di ransomware2.

Bitdefender ha seguito con molta attenzione l'evoluzione dei ransomware, prevedendo i suoi prossimi passi e introducendo tecnologie in grado di gestirli in modo specifico.

Nel seguente documento, è possibile apprendere tutto ciò che bisogna sapere sui ransomware e quali tecnologie Bitdefender utilizza per proteggere le aziende da una delle maggiori minacce che attualmente devono affrontare.

1 http://www.prnewswire.com/news-releases/report-identifies-ransomwares-biggest-cost-to-be-business-downtime-300236505.html

2 https://www.hotforsecurity.com/blog/only-38-of-businesses-believe-they-will-recover-from-a-ransomware-attack-13625.html

[3]

White Paper

Che cosa sono i ransomware?

I malware cercano di adattarsi all'ambiente circostante per sopravvivere. Alcuni non ci riescono, ma altri prosperano, riuscendo anche a scatenare una vera e propria epidemia. Le minacce informatiche non sono poi molto diverse. Nel 2015, i ransomware hanno causato 350 milioni di dollari3 di danni, contribuendo ad arricchire la loro reputazione come maggiore minaccia di sempre per le aziende e gli utenti Internet. Inoltre, almeno 3 professionisti di sicurezza su 4 vedono il ritorno dei ransomware come la maggiore nuova minaccia degli ultimi 12 mesi, secondo un sondaggio del 2016 di BlackHat.

I ransomware moderni sono un tipo di malware in grado di bloccare e spesso cifrare un sistema operativo fin quando l'utente non paga un riscatto per riottenerne l'accesso. I malware possono entrare in un sistema attraverso un file dannoso scaricato volontariamente, una vulnerabilità in un servizio di rete o addirittura un messaggio di testo.

Perché sono diversi dai malware tradizionali?

• Non sottraggono dati alle vittime, ma li codificano

• Non cercano di nascondersi dopo aver cifrato i file, perché la loro rilevazione non consentirà comunque di ripristinare i dati perduti

• Chiedono un riscatto, in genere in una valuta virtuale

• In genere, sono abbastanza facili da produrre, in quanto ci sono svariate crypto-librerie ben documentate.

CHE FORMA ASSUMONO?

Ci sono due tipi principali di ransomware in circolazione.

Quelli in grado di bloccare i dispositivi. Questo tipo di ransomware blocca la schermata del dispositivo e mostra un'immagine a schermo pieno che non consente di accedere allo stesso. Il messaggio richiede un pagamento, ma i file personali non vengono cifrati. Si presenta spesso come un messaggio da parte di presunte forze di polizia che minacciano di sanzionare gli utenti per presunte indiscrezioni o attività criminali online.

Fonte: theregister.co.uk - I pirati informatici rinunciano ai crypto ransomware. Ora bloccano soltanto il dispositivo, sperando che tu decida di pagare

3 http://download.bitdefender.com/resources/files/News/CaseStudies/study/59/Bitdefender-Ransomware-A-Victim-Perspective.pdf

[4]

White Paper

Crypto-ransomware. Quelli in grado di cifrare i file sono più evoluti rispetto agli altri, in quanto vantano una cifratura irreversibile di file e cartelle personali, tra cui documenti, fogli di calcolo, immagini e video.

Fonte: blog.malwareclipboard.com – Analisi ransomware Nanolocker

Entrambi i tipi di malware negano l'accesso alle risorse del computer, ma mentre quelli che bloccano i dispositivi possono essere disattivati attraverso alcune tecniche e strumenti di ripristino del sistema, gli altri, in grado di cifrare i dati, non possono essere decifrati facilmente, perciò sono molto più distruttivi.

CHE COSA BISOGNA SAPERE

Bitdefender sta seguendo attentamente l'evoluzione dei ransomware nel 2016, cercando di predire le loro prossime mosse e sviluppando tecnologie per proteggere da questa seria minaccia.

Nei primi tre mesi del 2016, le e-mail spam con file in allegato sono aumentate del 50%, secondo i dati del Bitdefender Antispam Lab. Parzialmente responsabile per i grandi volumi di allegati e-mail infetti è proprio la proliferazione dei crypto-ransomware. Locky and Petya, due minacce ransomware emergenti, stanno aggressivamente dando la caccia alle vittime con massicce campagne spam tramite documenti Word mascherati da fatture e link Dropbox per applicazioni dannose. I due nuovi ransomware si sono dimostrati così prolifici che Locky, ad esempio, è riuscito a infettare oltre 400.000 postazioni lavorative in pochissime ore4.

4 https://blog.knowbe4.com/its-here.-new-ransomware-hidden-in-infected-word-files

[5]

White Paper

Un documento infettato da Locky, inviato come allegato in un'e-mail spam. Una volta che la vittima attiva le macro, queste scaricheranno un file eseguibile da un server in remoto, per poi eseguirlo. Fonte blog.knowbe4.com - È qui. Nuovi ransomware Locky nascosti in file Word infetti

I RANSOMWARE SI STANNO PERICOLOSAMENTE ESPANDENDO TRA I VARI DISPOSITIVI

Windows resta il bersaglio principale dei ransomware, con varianti che passano attraverso varie trasformazioni. CryptoLocker, TorLocker, BitLocker sono solo alcuni esempi delle ondate più popolari e prolifiche che le agenzie delle forze dell'ordine e le società di sicurezza hanno bloccato.

Attualmente, Bitdefender ha una knowledge-base di 2,8 milioni di campioni di ransomware e 3 tecnologie attive per proteggere i sistemi Windows da tale minaccia.

I ransomware non sono prolifici solo su Windows, ma anche su Android, Linux e persino Mac OS. Il sistema operativo Android è stato ritenuto un probabile candidato per la nuova generazione di ransomware mobile, non solo a causa della sua incredibile quota di mercato dell'82,2% nel secondo trimestre del 2015, secondo IDC 5, ma anche perché vanta più di 1,4 miliardi di utenti attivi negli ultimi 30 giorni al mondo, secondo il CEO di Google, Sundar Pichai 6.

Le statistiche di Bitdefender mostrano che il tipo di ransomware Android SLocker rappresenta circa il 4,35% di tutti i malware mobile segnalati dai dispositivi infettati nel terzo trimestre del 2015, e il 3,08% nel quarto trimestre del 2015.

La novità nel mondo dei ransomware è stato il suo attacco anche al sistema operativo Linux. I server web Linux sono il cuore di Internet, poiché molti ospitano decine di siti web. Un'infezione potrebbe influenzare molto più di una vittima, così da aumentare i ricavi dai riscatti. Una delle nostre previsioni per il 2016 riguarda proprio l'evoluzione dei ransomware su Linux, che di fatto diventeranno una delle maggiori minacce mai comparse.

5 http://www.idc.com/prodserv/smartphone-os-market-share.jsp6 http://techcrunch.com/2015/09/29/android-now-has-1-4bn-30-day-active-devices-globally/

Bitdefender è il primo fornitore di sicurezza a rilasciare uno strumento di decrittazione per le vittime di ransomware su Linux, il tutto gratuitamente. I ricercatori di Bitdefender sono stati in grado di rilevare delle vulnerabilità negli algoritmi utilizzati per proteggere i file dalla cifratura di Linux.Encoder.

[6]

White Paper

Bitdefender sta anche seguendo attentamente l'evoluzione dei ransomware per Mac. Nel dicembre 2015, Il CTO di Bitdefender, Bogdan Dumitru, annunciava che nel corso del 2016 probabilmente avremmo assistito all'arrivo del primo ransomware per Mac7. Tre mesi dopo, un team di ricercatori alla Palo Alto Network ha scoperto KeRanger, un'infezione ransomware in un celebre client BitTorrent per OS X di Apple. Si tratta del primo ransomware rilevato su Mac OS.

COME BITDEFENDER PROTEGGE LE AZIENDE DAI RANSOMWARE?Tutti i prodotti Bitdefender destinati alle aziende usano non uno ma due livelli di protezione contro i ransomware. Le due tecnologie lavorano in maniera indipendente. Ma insieme, formano una delle protezioni più potenti sul mercato contro i ransomware.

Per migliorare la propria protezione per endpoint esistente, è possibile utilizzare il vaccino anti-ransomware. Funziona con qualsiasi soluzione che si sta utilizzando.

QUANDO UTILIZZARE LE SOLUZIONI AZIENDALI DI

BITDEFENDER

FASE 1

RILEVAMENTO DELLE FIRME

ESCLUDE TUTTI I RANSOMWARE CONOSCIUTI

FASE 2

RANSOMWARE ATC

RILEVA IL COMPORTAMENTO DEI RANSOMWARE NEI PROCESSI DI FILE

SCONOSCIUTI

VACCINO ANTI-RANSOMWARE

IMPEDISCE LA CIFRATURA AI RANSOMWARE CHE HANNO SUPERATO

LE ALTRE DIFESE

- COMPATIBILE CON QUALSIASI EPP -

UTILIZZANDO UN QUALSIASI FORNITORE DI

SICUREZZA

7 http://businessinsights.bitdefender.com/predictions-for-2016

[7]

White Paper

RILEVAMENTO BASATO SULLA SOMIGLIANZA DELLE FIRME

BLOCCA LA MAGGIOR PARTE DEI RANSOMWARESCOPERTO OGGIPERCHÉ UN RILEVAMENTO BASATO SULLA SOMIGLIANZA DELLE FIRME?

La rilevazione basata sulle firme è la prima linea di difesa contro gli attacchi ransomware. Non è sufficiente a proteggere da questa minaccia, ma svolge comunque un ruolo molto importante in ogni soluzione di sicurezza aziendale contro i ransomware.

BLOCCA L'ESECUZIONE DI OGNI TIPO DI RANSOMWARE NOTO. Rileva e blocca ogni tipo noto di ransomware tra tutte le famiglie più o meno conosciute.

BLOCCA LE NUOVE VARIANTI DI RANSOMWARE DELLE FAMIGLIE NOTE. I ransomware sono polimorfici e creano nuove copie su ogni particolare dispositivo. Bitdefender segna i dropper invece dei file, per contrastare questa capacità.

BLOCCA I RANSOMWARE CON COMPORTAMENTO SIMILE A QUELLO DELLE FAMIGLIE DI RANSOMWARE NOTE. Grazie alla sua tecnologia basata sulla somiglianza, Bitdefender può rilevare i ransomware in precedenza sconosciuti, se hanno un comportamento simile a quello dei tipi già conosciuti.

2.8 MILIONI DI NUOVI RANSOMWARE E NON È ANCORA FINITA. Bitdefender è riuscita a rilevare un totale di 2,8 milioni di campioni unici di ransomware solo negli ultimi due anni.

COME FUNZIONA

I ransomware sono polimorfici, ciò significa che ogni campione è unico, personalizzato per ciascuna vittima. Ecco perché marcare ciascun campione non avrebbe senso nel caso dei ransomware.

Firme dei dropper

Per massimizzare questo metodo di rilevazione tradizionale, oltre al campione, Bitdefender marca anche il dropper, bloccando il vettore d'attacco prima che il ransomware raggiunga effettivamente il dispositivo.

Che cos'è il dropper?

Durante un attacco ransomware, il ransomware stesso non è la prima parte dannosa a raggiungere il dispositivo. Ogni volta che clicchi sul link o il file sbagliato, ciò che viene effettivamente scaricato per primo è il dropper, una porzione del software che agisce come downloader per la parte effettiva del ransomware.

Un altro vantaggio nel bloccare i dropper invece del ransomware effettivo, oltre ad anticipare l'infezione, è che il dropper può essere usato su più dispositivi. Perciò ogni nuova vittima colpita da quello specifico dropper che utilizza Bitdefender sarà completamente al sicuro da quel ransomware.

Somiglianza delle firme

Bitdefender può anche rilevare campioni che sono molto simili ai ransomware in precedenza noti, attraverso un algoritmo sviluppato internamente chiamato simhash. Utilizzando simhash, gli attacchi di ransomware simili possono essere bloccati, anche se il campione era in precedenza sconosciuto.

[8]

White Paper

RANSOMWARE ATC

SVELA I RANSOMWARE MAI VISTI PRIMA

Basato sulla celebre tecnologia comportamentale ATC di Bitdefender.

Integrato in tutte le soluzioni GravityZone

BITDEFENDER - IL MAGGIOR PUNTEGGIO CONTRO LE MINACCE SCONOSCIUTE

Bitdefender ha raggiunto un punteggio quasi perfetto contro le nuove minacce, mentre la media del mercato continua a calare

L'efficacia di Bitdefender Advanced Threat Control può essere dimostrata meglio tramite i test euristici o comportamentali, come il test di protezione proattiva di AV-Comparatives. La prova indipendente ha testato i principali prodotti AV/Antimalware contro nuovi malware o zero-day, classificando le relative performance in base alla loro capacità di bloccare i campioni di malware. Trattandosi di nuove minacce, le firme tradizionali sono inutili, perciò il rilevamento si basa unicamente sulle tecnologie euristiche.

Nel test del 2015, Bitdefender ha superato tutte le altre soluzioni, bloccando il 99% dei campioni, con il miglior concorrente che si è fermato al 93%. Bitdefender ha anche ottenuto un punteggio superiore al 97% negli ultimi tre anni, con una media del settore per questo test che è calata dall'84% al 75% nello stesso periodo.

AV-Comparatives, test di rilevamento comportamentale/euristico, 2015

[9]

White Paper

PERCHÉ RANSOMWARE ATC?

Da settembre 2015, Bitdefender ha esteso la sua tecnologia euristica proprietaria, chiamata ATC, per rilevare anche i ransomware in precedenza sconosciuti. La tecnologia utilizza modelli comportamentali avanzati per trovare i ransomware, anche se non sono stati marcati.

INCREDIBILMENTE EFFICACE CONTRO I NUOVI RANSOMWARE DEL MERCATO NERO. Rileva i nuovi tipi di ransomware che possono essere acquistati e generati tramite il mercato nero, in quanto manifestano tutti un comportamento simile.

RILEVA i TIPI DI RANSOMWARE SCONOSCIUTI. Il comportamento dei ransomware è simile, anche se polimorfici. Una potente tecnologia comportamentale può rilevare persino le nuove varianti, utilizzando tecniche euristiche adattate.

FUNZIONA CON UN COMPLESSO RILEVAMENTO COMPORTAMENTALE. È piuttosto facile realizzare nuove varianti di ransomware, perciò la rilevazione basata sulle firme non può stare al passo. Per essere rilevata, una tecnologia deve essere rintracciata tramite il suo comportamento.

UTILIZZA LA NOSTRA RINNOVATA TECNOLOGIA ATC. ATC si è dimostrata essere una tecnologia incredibilmente efficace nel rilevare i malware sconosciuti. ATC ha permesso a Bitdefender di ottenere sempre i migliori risultati in fatto di rilevamento, facendo la differenza soprattutto nel rilevamento di malware nuovi o sconosciuti.

PROTEGGE DAI RANSOMWARE CON FIRMA DIGITALE. Anche se un ransomware viene marcato a livello digitale, manifesterà comunque un comportamento dannoso e sarà bloccato.

COME FUNZIONA LA SOLUZIONE

ATC non richiede alcuna firma, poiché scopre i ransomware semplicemente dal loro comportamento. Per determinare se un processo sia un ransomware, prima che colpisca, ATC controlla tutti i processi attivi e segna ogni comportamento sospetto con un punteggio. Se un processo intraprende diverse azioni sospette, riceverà un punteggio maggiore. Una volta che il punteggio supera una determinata soglia, ATC segnala alle altre tecnologie di bloccare il processo.

ATC

I RANSOMWARE HANNO RAGGIUNTO

IL DISPOSITIVO

SE IL RANSOMWARE

È NOTO

IL RANSOMWARE

PROVA A CIFRARE I FILE

L'ATTACCO VIENE BLOCCATO E IL DISPOSITIVO PULITO

INOLTRE, IL NUOVO RANSOMWARE

VIENE MARCATO

UNA VOLTA RAGGIUNTA LA SOGLIA

SE IL RANSOMWARE

È NUOVO O SCONOSCIUTO

ATC ANALIZZA IL SUO

COMPORTAMENTO

IL PROCESSO

CERCA DI

SCRIVERE,

RINOMINARE,

SPOSTARE O

COPIARE I FILE?

UN PROCESSO

CERCA DI

MODIFICARE

I FILE AUDIO,

VIDEO O DELLE

IMMAGINI?

ALTRI ALGORITMI

EURISTICI

L'ATTACCO VIENE BLOCCATO E IL

DISPOSITIVO PULITO

[10]

White Paper

Ecco alcune azioni che Bitdefender può indicare come un comportamento ransomware:

IL PROCESSO CERCA DI SCRIVERE, RINOMINARE, SPOSTARE O COPIARE I FILE? L'unico scopo di un ransomware è cifrare i file. Dunque, le azioni più comuni associate ai ransomware sono scrittura, modifica del nome, movimento o copia. ATC di Bitdefender controlla costantemente qualsiasi programma che prova a intraprendere una di queste azioni.

UN PROCESSO PROVA A MODIFICARE I FILE AUDIO, VIDEO O DELLE IMMAGINI?I ransomware in genere puntano anche ai file audio, video o relativi a immagini. Perciò ATC diventa sempre più sospettoso se un programma prova a intraprendere una delle azioni sovrastanti su qualsiasi tipo di questi file.

Questi sono solo alcuni esempi. Bitdefender Ransomware ATC controlla costantemente decine di azioni che possono indicare la presenza dei ransomware.

Il rilevamento di ATC funziona a livello locale e non richiede una connessione al cloud. La tecnologia è autonoma, poiché i parametri euristici dei ransomware definiti dalla tecnologia funzionano autonomamente.

Mentre la minaccia continua a evolversi, Bitdefender migliora costantemente i suoi algoritmi euristici, aggiungendone di nuovi, per restare sempre un passo avanti ai ransomware.

[11]

White Paper

VACCINO ANTI-RANSOMWARE

IMPEDISCE AI RANSOMWARE ESISTENTI DI AVVIARE LA CIFRATURAPERCHÉ UN VACCINO ANTI-RANSOMWARE?

Malgrado gli sforzi dei fornitori di sicurezza, a volte i ransomware riescono a superare le difese. Il vaccino anti-ransomware di Bitdefender è l'ultima linea di difesa contro i ransomware. Se la tua soluzione di sicurezza non ha rilevato o bloccato la minaccia, il vaccino riesce a ingannarla per non fargli cifrare i file. Questa tecnologia è integrata nella linea aziendale di Bitdefender ed è anche disponibile gratuitamente per essere eseguita con qualsiasi altra soluzione di sicurezza endpoint sul mercato. Affinché funzioni, deve essere installata prima che avvenga l'infezione.

UNA DIFESA ANTI-RANSOMWARE PREVENTIVA. La soluzione si comporta come un vero e proprio vaccino in grado di bloccare gli schemi noti dei ransomware, impedendogli di cifrare il sistema.

FUNZIONA CON RANSOMWARE NOTI E ALCUNI SCONOSCIUTI. Il vaccino anti-ransomware di Bitdefender può bloccare persino i nuovi ransomware con schemi familiari, che utilizzano dropper sconosciuti.

COMPATIBILE CON LA TUA SOLUZIONE DI SICUREZZA. Il vaccino anti-ransomware di Bitdefender funziona con qualsiasi protezione per endpoint utilizzabile, offrendo una rete di sicurezza finale nel caso in cui gli altri livelli di sicurezza falliscano.

ULTIMA LINEA DIFENSIVA. Il vaccino anti-ransomware di Bitdefender è un livello finale di protezione dai ransomware che hanno superato tutti gli altri filtri di sicurezza.

NESSUN IMPATTO AGGIUNTIVO SULLE PRESTAZIONI. La tecnologia è stata realizzata appositamente per non sforzare le prestazioni degli endpoint.

COME FUNZIONA LA SOLUZIONE

Il vaccino anti-ransomware di Bitdefender sfrutta le falle nei metodi di diffusione dei ransomware, riuscendo a impedirgli di cifrare i file, nel caso i malware fossero già penetrati nel dispositivo. La soluzione funziona in combinazione con qualsiasi protezione per endpoint esistente e rappresenta l'ultima linea di difesa contro i ransomware, che riescono a superare gli altri livelli di protezione, persino quando il dropper è sconosciuto.

Il vaccino anti-ransomware di Bitdefender è attualmente scaricabile gratuitamente dai Bitdefender Labs https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

BD-B

usin

ess-

Mar

.10.

2017

-Tk#

:Bi

tdef

ende

r-Bus

ines

s-20

15-W

hite

pape

r-Ant

iRan

som

war

e-c2

79-it

_IT

BITDEFENDER L'APPROCCIO MIRATO AI RANSOMWARE

I ransomware sono una delle maggiori minacce che le aziende abbiano mai dovuto affrontare e un approccio mirato è fondamentale per difendere le tue attività da essi.

• Bitdefender non ha uno, ma ben tre livelli anti-ransomware nelle sue soluzioni aziendali, con altri che saranno aggiunti in un prossimo futuro.

• La tecnologia ATC, che offre una protezione contro le nuove forme di ransomware, ha dato un grande contributo negli ottimi punteggi che Bitdefender ottiene contro le minacce zero-day. Bitdefender ha anche ottenuto un punteggio superiore al 97% negli ultimi tre anni, con una media del settore per questo test che è calata dall'84% al 75% nello stesso periodo.

• Bitdefender è riuscita a rilevare un totale di 2,8 milioni di campioni unici di ransomware solo negli ultimi due anni.

• Siamo il primo fornitore di sicurezza a rilasciare uno strumento di decrittazione per le vittime di ransomware su Linux, il tutto gratuitamente. I ricercatori di Bitdefender sono stati in grado di rilevare delle vulnerabilità negli algoritmi utilizzati per proteggere i file dalla cifratura di Linux.Encoder.

Con tutti i ransomware in circolazione, c'è una linea molto sottile tra un'azienda affidabile e sana, e un'inattesa interruzione delle attività, in grado di danneggiare la propria reputazione.

Usa il giusto set di strumenti per rendere più spessa quella linea.

Tutti i diritti riservati. © 2016 Bitdefender. Tutti i marchi registrati, i nomi commerciali e i prodotti a cui si fa riferimento in questo documento sono di proprietà dei rispettivi titolari. Per maggiori informazioni, visitare www.bitdefender.it.

Bitdefender offre tecnologie di sicurezza in oltre 100 paesi attraverso una rete innovativa di collaborazioni a valore aggiunto, distributori e rivenditori. Dal 2001,

Bitdefender produce costantemente le migliori tecnologie sul mercato per utenti consumer e aziendali, oltre a essere uno dei migliori fornitori di sicurezza nelle

tecnologie cloud e di virtualizzazione. Bitdefender ha abbinato le sue pluripremiate tecnologie a collaborazioni e partnership commerciali e ha rinforzato la sua

posizione nel mercato globale, attraverso alcune alleanze strategiche con alcuni dei principali fornitori di tecnologie cloud e di virtualizzazione.