Una ricerca Sophos ha analizzato gli attacchi rilevati e bloccati dalla tecnologia Sophos CryptoGuard scoprendo come il ricorso al ransomware remoto sia aumentato del 62% in un anno

MILAN, ITALY — Dicembre 20, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, ha pubblicato il report dal titolo “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” nel quale viene evidenziato come i gruppi più attivi e prolifici nel comparto del ransomware –Akira,ALPHV/BlackCat, LockBit,Royal, Black Basta – stiano deliberatamente modificando i loro attacchi facendo ricorso a tecniche di cifratura remota. Negli attacchi di questo tipo, noti anche come ransomware remoto, i malintenzionati sfruttano un endpoint compromesso e spesso poco protetto per cifrare i dati presenti su altri dispositivi connessi alla medesima rete.

Sophos CryptoGuard è la tecnologia anti-ransomware acquisita da Sophos nel 2015 e compresa in tutte le licenze Sophos Endpoint. CryptoGuard tiene sotto controllo la cifratura illecita dei file implementando funzionalità di protezione e rollback immediate, anche quando il ransomware non compare mai su un host protetto. Questa esclusiva tecnologia anti-ransomware, che rappresenta l'ultima linea di difesa nella protezione stratificata degli endpoint proposta da Sophos, entra in funzione solamente quando un cybercriminale la attiva in una fase successiva della catena di attacco. CyptoGuard ha rilevato un incremento annuale del 62% negli attacchi compiuti intenzionalmente con tecniche di cifratura remota rispetto al 2022.

“Le aziende possiedono migliaia di computer connessi insieme e, con il ransomware remoto, basta un solo dispositivo insufficientemente protetto per compromettere l'intera rete. I malviventi lo sanno, per questo vanno a caccia di quell'unico punto debole. La cifratura remota è una minaccia destinata a radicarsi e, sulla scorta degli allarmi che abbiamo osservato, è un metodo di attacco in costante crescita”, ha dichiarato Mark Loman, vice president, threat research di Sophos e and co-autore di CryptoGuard.

Poiché questo tipo di attacco comporta la cifratura dei file da remoto, i metodi anti-ransomware tradizionali implementati sui dispositivi remoti non “vedono” i file pericolosi né le relative attività, non riuscendo quindi a proteggerli dalle cifrature non autorizzate e dalle potenziali perdite di dati. La tecnologia Sophos CryptoGuard, invece, sfrutta un approccio innovativo alla neutralizzazione del ransomware remoto analizzando cioè i contenuti dei file per controllare eventuali azioni di cifratura dei dati allo scopo di rilevare le attività ransomware su qualsiasi dispositivo collegato alla rete, anche qualora su tale dispositivo non sia presente malware.

Nel 2013 CryptoLocker è stato il primo ransomware a usare questa tecnica accompagnata da cifratura asimmetrica, la cosiddetta crittografia a chiave pubblica. Da allora gli attaccanti sono riusciti a diffondere l'uso del ransomware grazie alla diffusa presenza di punti vulnerabili nella sicurezza delle aziende di tutto il mondo e all'avvento delle criptovalute.

“Quando ci siamo accorti che CryptoLocker usava la cifratura remota, dieci anni fa, avevamo previsto che tale tattica sarebbe diventata una vera sfida per chi si deve difendere. Altre soluzioni cercano di rilevare il codice illecito nei file binari o in fase di esecuzione, ma nel caso della cifratura remota il malware risiede e viene eseguito su un computer non protetto, differente da quello di cui si intendono criptare i file. L'unico modo per fermare l'attacco è quello di monitorare i file e proteggerli. Ecco perché abbiamo innovato CryptoGuard”, ha aggiunto Loman, vice president, threat research di Sophos e and co-autore di CryptoGuard.

“CryptoGuard non va alla ricerca del ransomware, ma si concentra esclusivamente sui suoi obiettivi principali: i file. La soluzione applica controlli matematici ai documenti evidenziando i segni di manipolazione e cifratura. È importante notare come l'efficacia di questa strategia autonoma non dipenda da indicatori di avvenuta violazione, da signature delle minacce, dall'intelligenza artificiale, da ricerche nel cloud o da conoscenze preventive. Focalizzandosi sui file possiamo cambiare il rapporto di forza tra attaccanti e difensori. La soluzione aumenta i costi e la complessità che i malintenzionati devono affrontare per cifrare i dati, facendogli abbandonare gli obiettivi. Tutto questo è parte della nostra strategia di approccio asimmetrico alla difesa. Il ransomware remoto è un notevole problema per le aziende e sta contribuendo alla longevità del ransomware in generale. Considerando che leggere dati attraverso una connessione di rete è più lento rispetto alla lettura da disco locale, abbiamo visto che gruppi comeLockBit eAkira si limitano a cifrare strategicamente solo una frazione di ciascun file. Questo approccio intende massimizzare l'impatto in tempi minimi riducendo ulteriormente la finestra temporale nella quale è possibile accorgersi dell'attacco in corso e reagire di conseguenza. L'approccio Sophos alla tecnologia anti-ransomware blocca sia gli attacchi remoti che quelli che cifrano solamente il 3% di un file.”.

Per maggiori informazioni si rimanda al testo del report “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” disponibile su Sophos.com.

 

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.