CryptoDrop: un sistema che rileva e blocca l’attacco dei ransomware
Un gruppo di ricercatori delle università della Florida e di Villanova ha di recente sviluppato una tecnica denominata CryptoDrop. Presentato in occasione della recente 36° conferenza IEEE, il software sembrerebbe in grado di sconfiggere diverse tipologie di ransomware grazie ad un approccio innovativo al problema.
A tal proposito è stato pubblicato un articolo che descrive come sia possibile bloccare la minaccia monitorando l’attività di files mirati: CryptoDrop stana e blocca il ransomware accorgendosi delle tracce che lascia su di essi.
Nel loro articolo i ricercatori descrivono tre classi di ransomware:
- classe A che sovrascrive il contenuto dei file e cripta i contenuti in loco,
- classe B in grado di spostare il file prima di criptarlo per rimetterlo poi nella sua location originale
- classe C, la più dannosa, capace di creare nuovi file con i contenuti criptati ed eliminare o sovrascrivere i file originali.
Il software si attiva quando il ransomware ha già iniziato a criptare i files, riuscendo però a bloccare il processo in breve tempo, ossia quando è stato criptato lo 0.2% dei files sulla macchina colpita (10 files persi su 5099).
L’analisi che tale sistema mette in atto si basa su tre indicatori riguardanti l’attività sospetta:
- la modifica di massa relativa ai tipi dei files
- la dissomiglianza (i file criptati non hanno l’aspetto di un normale file)
- l’aumento della entropia di Shannon (la crittografia dovrebbe produrre un’entropia consistente sul suo output).
Il team ha anche identificato i cosiddetti “indicatori secondari” tra cui l’eliminazione massiva di files e il “file-type funneling“, ovvero la rilevazione della lettura di un’enorme varietà di files di tipi differenti e la successiva scrittura su un solo tipo di file.
CryptoDrop utilizza tutti questi fattori per sviluppare un “punteggio”: se tale valore supera quello prestabilito, il programma invia un avviso all’utente per poi procedere con la terminazione del processo d’attacco.
Nel testo redatto degli ideatori statunitensi si legge che nessuno tra i programmi innocui testati ha attivato tutti e tre gli indicatori primari, al contrario di quanto accade con la maggior parte dei campioni di ransomware esaminati.
Unificare i tre rilevatori primari risulterebbe dunque fondamentale per una rapida diagnosi dei ransomware; ma tuttavia sono gli stessi ricercatori a dichiararsi dubbiosi sulla possibilità di falsi esiti positivi. Lo strumento potrebbe risultare fallace agli utenti soliti ad azionare meccanismi voluti di crittografia, un’eccessiva attività di questo tipo rischia infatti di attivare il software.
Il rilevamento delle modifiche sui files è stata condotta usando uno strumento chiamato sdhash che, una volta eseguito, fornisce un valore relativo alla somiglianza tra il file originale e quello criptato.
Gli studiosi hanno dichiarato: “Il nostro sistema (realizzato solo per piattaforma Windows) è il primo metodo di rilevazione ransomware che tiene sotto controllo i cambiamenti dei files dell’utente piuttosto che tentare di identificare un ransomware ispezionando la sua esecuzione (ad esempio, il monitoraggio delle chiamate API) o il suo contenuto. Questo permette a CryptoDrop di rilevare attività sospette indipendentemente dal meccanismo di attivazione o dalla precedente attività innocua.”
“I nostri esperimenti hanno testato CryptoDrop contro 492 differenti campioni di ransomware riuscendo con un tasso di rilevazione del 100% e garantendo una perdita di file pressochè nulla. Con pochissimi file persi, il problema di dover pagare un riscatto per le vittime dei ransomware è ridotto o rimosso, proteggendo gli utenti e smantellando l’economia di chi attacca.”
Gli esperti di sicurezza informatica hanno accolto CryptoDrop con un cauto benvenuto, ricordando che ad oggi esistono già diversi sistemi per la protezione dei dati dagli attacchi ransomware ed affermando l’importante e necessario ruolo che giocano il backup ed il ripristino d’emergenza.
A cura della Redazione