logo
Contattaci

Virus Cryptolocker nuovamente in circolazione

Virus Cryptolocker nuovamente in circolazione

Nei primi giorni del mese di marzo una nuova ondata di mail contenenti il virus Cryptolocker si è riservata sulle caselle postali delle aziende italiane. Questo attacco è particolarmente pericoloso in quanto i virus vengono attivati da macro contenute all’interno di file, tipicamente .xls o .doc, e non vengono riconosciute dai principali antivirus. Non si tratta di una novità assoluta, ma il numero di mail infette registrate in questi primi giorni di marzo è enorme rispetto agli attacchi del passato, e purtroppo ancora oggi molte aziende cadono nel tranello creato in maniera sempre più efficace da Cryptolocker.

Perché gli antivirus non intercettano le minacce?

Gli antivirus si basano sulle impronte dei virus: una volta riconosciuto un malware, viene realizzato il codice in grado di annientare la minaccia. Ma tutto quello che l’antivirus non conosce viene interpretato come potenzialmente innocuo. Una delle novità di virus come Cryptolocker sta proprio qui: il virus è quasi realizzato ad hoc per ciascun cliente: nel caso di uno degli episodi riscontrati nei giorni scorsi, il virus a 24 ore dalla sua comparsa era rilevato soltanto da 5 antivirus sui 56 presenti sul sito virustotal.com.

Un ulteriore livello di protezione: APT

Come proteggersi allora da minacce che non vengono rilevate né dagli antivirus né dagli antispam più evoluti? Una soluzione è la tecnologia APT (Advanced Persistent Threat), che consiste nell’aprire il file all’interno di una zona protetta (denominata sandbox) per valutarne il comportamento. Verrà quindi bloccato ogni file il cui comportamento sia sospetto – per esempio a seguito dell’attivazione di una macro di Excel che cerca di fare qualcosa di poco chiaro – e non soltanto una minaccia già conosciuta.
Il concetto di APT è anche scoprire cosa preleverà dall’esterno il virus,  quasi sempre una nuova parte infetta (criptata) non riconosciuta, e divulgare prima possibile l’informazione ai  firewall del perimetro (quasi sempre lo stesso che avvia e gestisce le informazioni con APT).
Quindi un possibile virus Cryptolocker, già installato ed attivo su un pc/mac in attesa di  intervenire, potrebbe fermarsi perché impossibilitato nel chiedere informazioni al punto centrale di infezione (questa tecnica  è chiamata spesso Command&Conqueror).

Cosa fare allora per proteggersi?

La prima cosa fondamentale è attivare un antispam efficace, come Cloud Email Firewall; questo elimina moltissimi rischi alla radice, ma sappiamo che non intercetterà il 100% delle minacce.

A questo punto ci sono tre strade:

La prima è dotarsi della tecnologia APT sulle singole caselle mail, come ulteriore funzionalità rispetto all’antispam. Cloud Email Firewall ha una soluzione APT che è implementabile ad ulteriore protezione della singola casella.

La seconda è disporre della stessa tecnologia APT a bordo del proprio firewall perimetrale: sarà a questo punto il firewall a gestire la sandbox, ovvero a eseguire il file e verificarne le “intenzioni”. Questa seconda soluzione offre un rapporto qualità-prezzo più interessante quando il numero delle caselle è alto (da 60/70 in poi) e quando la posta elettronica è concentrata su un’unica sede – in caso contrario la tecnologia APT andrà attivata su tutti i firewall.

La terza soluzione è sempre valida e va implementata anche se si è scelto di procedere con una soluzione basata su tecnologia APT, e consiste nella formazione continua degli utenti. Nell’ultima ondata di virus ricevuti, abbiamo riscontrato che oltre il 70% delle aziende ha attivato comportamenti eccellenti, informando il proprio reparto IT che si è mosso per disattivare la minaccia. L’utente più protetto è sempre l’utente più consapevole.

Come riconoscere allora un file sospetto?

Ci sono numerosi tool che ci consentono di fare un’escalation del problema, come “virustotal.com” che consente di dare in pasto il file a numerosi antivirus.

Ma le regole basilari sono ben più semplici. Rivediamo quelle sempre valide:

Devo riconoscere chiaramente il mittente. Occorre ricordare che gli attuali virus ci conoscono, raccolgono dati su di noi, sanno quali sono i nostri interlocutori; si presenteranno perciò come mittenti assolutamente credibili. Non basta conoscere il dominio aziendale dal quale ricevo una mail, ma devo riconoscere chiaramente anche il mittente. Attenzione, però: questo non basta perché…

Devo riconoscere il contenuto del messaggio e la sua congruità con il mittente. Se ricevo una mail con allegata una fattura da una persona che generalmente non è preposta a tale funzione, non basta che la sua mail sia valida: probabilmente è un virus!

Solo se mittente e contenuto sono entrambi congruenti – quindi ricevo qualcosa da qualcuno da cui mi aspetto quel tipo di documento – allora posso aprire il file, fermo restando che ci sono regole base da non dimenticare mai: per esempio, una fattura in Excel non va mai aperta!

Cryptolocker_email

 

 

E se ricevo un file sospetto?

Ho varie possibilità, ma la più semplice è quella di rispondere al mittente – ovviamente senza allegare il file, per evitare epidemie – chiedendo se abbia realmente inviato quel documento.
Se il virus si è inventato un mittente sconosciuto per propagare il file, con ogni probabilità la mail genererà un errore. Ricordiamoci sempre che il virus cerca di sfruttare un contatto che io conosco (il dominio di un’azienda con cui lavoro, per esempio) ma non ha il controllo di quella casella né di quel dominio.
Se il virus ha sottratto un’identità, fingendo di essere un nostro contatto reale, sarà lui stesso a dirci di non aver mai inviato quel documento.

 

Contattaci per avere maggiori informazioni
Promo.it Srl, titolare del trattamento, utilizzerà i dati inseriti al fine di (1) gestire la richiesta, per eventuali adempimenti amministrativi fiscali e di legge correlati, (2) nonché previo consenso facoltativo per finalità di marketing (invio di newsletter e di altre eventuali comunicazioni, materiali, informazioni legate a Promo.it). I dati potranno essere comunicati a terzi per il perseguimento della suddetta finalità. Il conferimento dei dati è obbligatorio per gestire la richiesta. Potrà esercitare i diritti scrivendo a privacy@promo.it per maggiori informazioni si rimanda all'informativa completa

 

News Correlate
sicurezza_password
Password e sicurezza della propria casella di posta elettronica
Parliamo del problema delle password e di come comportaci nella creazione e nella gestione delle stesse. Chi di noi non ...
Leggi di più
Riccardo Zonca, Senior System Engineer & Risk Manager di Promo.it
Sicurezza dei server e microscopio per email
I recenti fatti di cronaca relativi al Cyber Spionaggio che hanno visto vittime tra i più famosi l’ex Premier Matteo ...
Leggi di più
Email Marketing
Guida per Email Marketing
L’Email Marketing è uno degli strumenti più efficaci nel Digital Marketing ma è  sottovalutato perchè non si è capaci di ...
Leggi di più