Una ricerca Sophos ha analizzato gli attacchi rilevati e bloccati dalla tecnologia Sophos CryptoGuard scoprendo come il ricorso al ransomware remoto sia aumentato del 62% in un anno

MILAN, ITALY — Dicembre 20, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, ha pubblicato il report dal titolo “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” nel quale viene evidenziato come i gruppi più attivi e prolifici nel comparto del ransomware –Akira,ALPHV/BlackCat, LockBit,Royal, Black Basta – stiano deliberatamente modificando i loro attacchi facendo ricorso a tecniche di cifratura remota. Negli attacchi di questo tipo, noti anche come ransomware remoto, i malintenzionati sfruttano un endpoint compromesso e spesso poco protetto per cifrare i dati presenti su altri dispositivi connessi alla medesima rete.

Sophos CryptoGuard è la tecnologia anti-ransomware acquisita da Sophos nel 2015 e compresa in tutte le licenze Sophos Endpoint. CryptoGuard tiene sotto controllo la cifratura illecita dei file implementando funzionalità di protezione e rollback immediate, anche quando il ransomware non compare mai su un host protetto. Questa esclusiva tecnologia anti-ransomware, che rappresenta l'ultima linea di difesa nella protezione stratificata degli endpoint proposta da Sophos, entra in funzione solamente quando un cybercriminale la attiva in una fase successiva della catena di attacco. CyptoGuard ha rilevato un incremento annuale del 62% negli attacchi compiuti intenzionalmente con tecniche di cifratura remota rispetto al 2022.

“Le aziende possiedono migliaia di computer connessi insieme e, con il ransomware remoto, basta un solo dispositivo insufficientemente protetto per compromettere l'intera rete. I malviventi lo sanno, per questo vanno a caccia di quell'unico punto debole. La cifratura remota è una minaccia destinata a radicarsi e, sulla scorta degli allarmi che abbiamo osservato, è un metodo di attacco in costante crescita”, ha dichiarato Mark Loman, vice president, threat research di Sophos e and co-autore di CryptoGuard.

Poiché questo tipo di attacco comporta la cifratura dei file da remoto, i metodi anti-ransomware tradizionali implementati sui dispositivi remoti non “vedono” i file pericolosi né le relative attività, non riuscendo quindi a proteggerli dalle cifrature non autorizzate e dalle potenziali perdite di dati. La tecnologia Sophos CryptoGuard, invece, sfrutta un approccio innovativo alla neutralizzazione del ransomware remoto analizzando cioè i contenuti dei file per controllare eventuali azioni di cifratura dei dati allo scopo di rilevare le attività ransomware su qualsiasi dispositivo collegato alla rete, anche qualora su tale dispositivo non sia presente malware.

Nel 2013 CryptoLocker è stato il primo ransomware a usare questa tecnica accompagnata da cifratura asimmetrica, la cosiddetta crittografia a chiave pubblica. Da allora gli attaccanti sono riusciti a diffondere l'uso del ransomware grazie alla diffusa presenza di punti vulnerabili nella sicurezza delle aziende di tutto il mondo e all'avvento delle criptovalute.

“Quando ci siamo accorti che CryptoLocker usava la cifratura remota, dieci anni fa, avevamo previsto che tale tattica sarebbe diventata una vera sfida per chi si deve difendere. Altre soluzioni cercano di rilevare il codice illecito nei file binari o in fase di esecuzione, ma nel caso della cifratura remota il malware risiede e viene eseguito su un computer non protetto, differente da quello di cui si intendono criptare i file. L'unico modo per fermare l'attacco è quello di monitorare i file e proteggerli. Ecco perché abbiamo innovato CryptoGuard”, ha aggiunto Loman, vice president, threat research di Sophos e and co-autore di CryptoGuard.

“CryptoGuard non va alla ricerca del ransomware, ma si concentra esclusivamente sui suoi obiettivi principali: i file. La soluzione applica controlli matematici ai documenti evidenziando i segni di manipolazione e cifratura. È importante notare come l'efficacia di questa strategia autonoma non dipenda da indicatori di avvenuta violazione, da signature delle minacce, dall'intelligenza artificiale, da ricerche nel cloud o da conoscenze preventive. Focalizzandosi sui file possiamo cambiare il rapporto di forza tra attaccanti e difensori. La soluzione aumenta i costi e la complessità che i malintenzionati devono affrontare per cifrare i dati, facendogli abbandonare gli obiettivi. Tutto questo è parte della nostra strategia di approccio asimmetrico alla difesa. Il ransomware remoto è un notevole problema per le aziende e sta contribuendo alla longevità del ransomware in generale. Considerando che leggere dati attraverso una connessione di rete è più lento rispetto alla lettura da disco locale, abbiamo visto che gruppi comeLockBit eAkira si limitano a cifrare strategicamente solo una frazione di ciascun file. Questo approccio intende massimizzare l'impatto in tempi minimi riducendo ulteriormente la finestra temporale nella quale è possibile accorgersi dell'attacco in corso e reagire di conseguenza. L'approccio Sophos alla tecnologia anti-ransomware blocca sia gli attacchi remoti che quelli che cifrano solamente il 3% di un file.”.

Per maggiori informazioni si rimanda al testo del report “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” disponibile su Sophos.com.

 

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.