Il ransomware è diventato uno dei maggiori rischi aziendali e costituisce la minaccia più seria per le organizzazioni IT. A livello globale ha raggiunto proporzioni epidemiche e si prevede che i costi relativi raggiungeranno i 70 miliardi di dollari entro il 2025.

CHE COSA E’ RANSOMWALL

Ransomwall è un servizio che risulta efficace in presenza di endpoint compromessi da malware, costruisce una barriera intorno al file sharing o alle cartelle sottoposte a monitoraggio attivo, abortendo qualsiasi tentativo di cifratura. Il sistema è del tutto indipendente e si pone come un ulteriore livello di sicurezza che opera a prescindere dall’efficacia della difesa perimetrale o di endpoint. L’impatto sulle performance risulta trascurabile, i test effettuati dichiarano che i tempi di lettura e scrittura restano quasi gli stessi anche su elevati livelli di troughput.

Il servizio Ransomwall dispone di un micro linguaggio a riga di comando che permette al CISO di una azienda di poter configurare in autonomia le proprie policy che possono essere applicate sui files in modalità real-time o eventualmente schedulate. Inoltre tutte le attività eseguite dal servizio Ransomwall vengono storicizzate in un log collector gestito in locale mediante database di tipo noSQL in modalità Lite.

Alcune azioni eseguite dal servizio Ransomwall:

• Monitoraggio in real-time delle attività di I/O sulle share di rete Lettura-Scrittura-Creazione-Duplicazione-Cancellazione (anche a livello granulare), qualora sia attiva la relativa policy.
• Monitoraggio in real-time della protezione alla copia dei file abilitando un processo di crittografia RSA dello stesso, qualora sia attiva la relativa policy.
• Monitoraggio e Inibizione delle crittografie non consentite sui files (è possibile escludere file di firma o altre crittografie utilizzate dall’azienda). Tutte le esclusioni necessarie verranno gestite mediante policy personalizzate.
• Monitoraggio e Inibizione alla copia all’interno della share di qualsiasi files che potesse in qualche modo scatenare attività di crittografia o esecuzioni di macro malevoli (.exe .bat .js .com e altre centinaia di tipologie). (è possibile escludere file con particolari estensioni utilizzati dall’azienda). Tutte le esclusioni necessarie verranno gestite mediante policy personalizzate.
• Monitoraggio costante dei processi di Hardening applicati e del Path Management dei Server.

Il controllo di un processo crittografico sui files avviene mediante un avanzato algoritmo capace di individuare la tipologia di crittografia innescata durante il normale utilizzo di un file presente nella share protetta. Ogni processo crittografico genera una propria impronta; esistono diversi tipi di impronte utilizzate per riconoscere e verificare crittografie. Una delle più comuni è l’impronta digitale crittografica, che è un valore numerico univoco generato da un algoritmo di Hash. Gli algoritmi di Hash sono progettati per trasformare input di lunghezze variabili in output di lunghezza fissa in modo deterministico.

ALCUNE DELLE CRITTOGRAFIE MONITORATE

1. Crittografie Simmetrica
   • AES (Advanced Encryption Standard)
   • DES (Data Encryption Standard)
   • 3DES (Triple DES)
   • Blowfish
   • Twofish
   • IDEA (International Data Encryption Algorithm)
2. Crittofrafie Asimmetrica
   • RSA (Rivest Shamir Adleman)
   • ECC (Elliptic Curve Cryptography)
   • DSA (Digital Signature Algorithm)
   • EIGmal
3. Crittografia a chiave Ibride
   • RSA con AES
   • ECC con AES
   • Diffie Hellman con AES
4. Crittografia di Hash
   • SHA-1 (Secure Hash Algorithm 1)
   • SHA-256 – 384 – 512
   • MD5 (Message Digest Algorithm 5)
   • RIPEMD (Race Integrity Primitives Evaluation Message Digest)
   • Whirlpool
5. Crittografia di Hash basata su password
   • PBKDF2 (Password Based Key Derivation Function 2)
   • BCRYPT  – SCRYPT
   • ARGO2
   • XOR

L’implementazione di algoritmi sicuri può significativamente migliorare la sicurezza e proteggere le risorse digitali da accessi non autorizzati e altre minacce alla sicurezza.