Il prodotto Elements Endpoint Protection for Servers di WithSecure ha una nuova funzionalità di protezione contro il ransomware: Server Share Protection.
Questa funzionalità monitora le attività potenzialmente dannose in tempo reale grazie alla tecnologia denominata Activity Monitor. Man mano che la sessione si svolge e la minaccia viene confermata, blocca l'ultima operazione e quindi ripristina tutte le modifiche che sono state rilevate, ripristinando l'ambiente allo stato in cui si trovava prima dell'attacco.

DeepGuard (il motore HIPS (Host-based Intrusion Prevention System) utilizzato dai prodotti di protezione degli endpoint WithSecure) funziona bloccando immediatamente le attività sospette.
In alcune rare situazioni, questo può portare a falsi positivi e a frustranti ritardi per l'utente. Ad esempio, un aggiornamento standard di un'applicazione potrebbe essere bloccato perché non è mai stato visto prima e sta tentando di scaricare ed eseguire altro codice da un server remoto, e quindi sembra sospetto. Questo è comprensibilmente frustrante per l'utente, ma l'alternativa è bloccare in un secondo momento il processo e rischiare di lasciare che venga eseguito del vero codice dannoso.

La nuova Server Share Protection risolve questo problema in modo eccellente, in particolare per gli attacchi ransomware. Poiché il software può annullare qualsiasi modifica dopo l'avvio del monitoraggio, non è necessario bloccare le attività sospette in prima istanza. Il numero di falsi positivi è nettamente inferiore e l'utente è meno disturbato.

Perché è la soluzione migliore per i ransomware?

Questa protezione è mirata specificamente ai ransomware, perché questi ultimi in genere crittografano i file, anziché rubarli. Se il ransomware inizia ad essere eseguito sul computer, il sistema inizia automaticamente a monitorare la sessione. Ciò significa che terrà traccia di tutte le attività in tempo reale. Se il codice dannoso avvia un processo, che ne avvia un altro e si diffonde in diverse aree del sistema, ogni fase della sessione viene monitorata e vengono creati regolarmente backup temporanei dei file interessati.

Se uno dei vostri file viene crittografato, potete facilmente annullare le modifiche apportate durante la sessione e ripristinare il normale accesso. Questo non funziona altrettanto bene con il malware progettato per rubare informazioni, perché sebbene il software possa comunque annullare le modifiche, non può riportare indietro le informazioni che sono state copiate e rimosse dall'ambiente durante la stessa sessione.

Molte soluzioni di protezione degli endpoint utilizzano la funzionalità Shadow Copy fornita da Microsoft Windows. Abbiamo notato che in molti casi il ransomware o altre minacce informatiche tentano attivamente di disabilitare questa funzionalità, rendendo inutilizzabili i backup di Shadow Copy. L'approccio proprietario di WithSecure è nuovo, in quanto esegue il backup solo di ciò che è necessario e solo per il periodo in cui è necessario.

Perché WithSecure ha ideato questo sviluppo?

Broderick Aquilino, ricercatore capo di WithSecure, ha spiegato come è stata immaginata e sviluppata questa nuova tecnologia:

"Stavamo cercando di copiare l'approccio sandbox che utilizziamo nel back end, ma di utilizzarlo per gli endpoint. Una sandbox funziona isolando il codice non testato e permettendone l'esecuzione, il che significa che è possibile capire cosa farà il codice sospetto senza mettere a rischio l'ambiente. Tuttavia, questo richiede tempo e quindi non è molto adatto per gli endpoint perché il ritardo sarà molto evidente per gli utenti. L'utente eseguirà un file e dovrà attendere alcuni minuti per ottenere il risultato.

In questo caso abbiamo cercato di creare una sandbox, ma sull'endpoint. Per risolvere il problema della scarsa esperienza dell'utente, abbiamo deciso di lasciarlo eseguire sul sistema, consentendogli di crittografare i file e tutto il resto. Poi abbiamo ideato questa funzionalità di rollback in modo da vedere i file che vengono crittografati, quindi eseguire il rollback automaticamente (senza alcuna interazione da parte dell'utente) ed eliminare il file eseguito".

Come si presenta e cosa cambia per l'utente?

Server Share Protection funziona automaticamente in background. L'amministratore deve solo attivare la funzione all'interno della soluzione Elements Endpoint Protection e questa rileverà automaticamente tutte le cartelle condivise sul server Windows (anche se l'amministratore del portale Elements può scegliere di escludere alcune cartelle condivise dall'elenco in modo che non vengano tracciate). Dopodiché funzionerà in modo completamente silenzioso; non invierà alcuna notifica, tranne nel caso in cui rilevi un ransomware che tenta di criptare i file.

L'opzione predefinita del prodotto è la modalità di segnalazione. In questa modalità, se il software rileva la crittografia ransomware, l'amministratore riceverà una notifica, ma la funzionalità di rollback non viene attivata automaticamente. Si potrebbe scegliere questa opzione se si è preoccupati per i falsi positivi e non si vuole annullare accidentalmente le modifiche legittime apportate al computer.

L'altra opzione è la modalità normale, in cui la funzione di rollback si attiva automaticamente. In questa modalità, l'amministratore riceverà una notifica che indica che il ransomware ha tentato di criptare alcuni file e fornirà un elenco di file e cartelle. Pochi secondi dopo, verrà visualizzata una notifica che indica che tutti i file sono stati automaticamente ripristinati allo stato precedente.

Quali sviluppi futuri sono previsti?

Una versione futura della funzionalità di protezione contro il ransomware includerà anche una funzione di "annullamento selettivo" per casi altamente improbabili in cui qualsiasi rollback innescato da un'attività sospetta di malware può essere annullato da un amministratore. In questo modo, i file "buoni" modificati durante la sessione utente corrente possono essere conservati, mentre solo i file infetti vengono ripristinati.

Potrebbe interessarti anche: