Sì è fatto tutto per bene: un buon antivirus di cui si verifica l’aggiornamento, patch gestite alla perfezione, disabilitate le macro di Office, permessi sui dischi di rete ragionati e persino un po’ di educazione degli utenti… Nonostante tutto questo, un maledetto ransomware riesce ad entrare nella nostra struttura e ad andare in esecuzione.
OK, la prevenzione non ha funzionato: ci è andata male.
Ma possiamo limitare i danni? Possiamo evitare che ci vada decisamente peggio?
Si può, eccome: ed è per questo che a inizio 2016 è stato sviluppato, in Italia, Bitsentinel.
Bitsentinel controlla costantemente l’attività sul disco del server per rilevare tempestivamente attività che possa fare pensare a ransomware in azione.
Se questo avviene, intraprende diverse contromisure tra cui notificare subito l’amministratore di rete e bloccare l’accesso al disco all’agente infettante.
L’approccio utilizzato finora dai software antivirus si è rilevato poco efficace a causa della continua evoluzione dei malware che vengono sviluppati in centinaia di nuove varianti ogni giorno.
E in questo scenario gli unici antivirus che riescono ad arginare il fenomeno sono quelli comportamentali e non basati sulle “firme”.
Bene. Bitsentinel opera in modo diverso: installato su ogni file server presente in azienda, monitora i file presenti nelle condivisioni e rileva eventuali attività riconducibili ad infezioni da ransomware.
In caso di potenziale infezione l’amministratore viene avvisato tramite email e viene bloccato l’accesso ai file server dai terminali presenti in rete. Le email inviate all’amministratore riportano anche le informazioni necessarie per indentificare il computer in rete che sta cifrando i file presenti nel server, consentendo di isolare immediatamente la postazione e procedere alla rimozione del virus.
Bitsentinel rileva la potenziale infezione quando alcuni file sono già stati compromessi.
Questa nuova tipologia di rilevamento non previene quindi l’infezione dei computer, per la quale è sempre necessario installare un ottimo software antivirus, ma consente di ridurre al minimo la perdita dei file presenti nei server aziendali.
Bitsentinel è formato da due componenti principali:
- il servizio
- l’interfaccia utente (GUI).
Il servizio “Bitsentinel” effettua il monitoraggio vero e proprio dei file, il logging, invia gli alert e blocca il processo “server” di condivisione.
L’interfaccia utente (GUI) consente di effettuare la configurazione del servizio e di ricevere notifiche immediate.
Per impostazione predefinita BitSentinel scansiona tutte le cartelle condivise su un server e le mette in monitoraggio (qualora si volessero specificare alcune cartelle particolari è possibile farlo).
Qualora BitSentinel rilevi una possibile infezione da CryptoVirus, è possibile ricevere una notifica via email e/o arrestare il servizio di condivisione, in modo che non sia più possibile cifrare altri file quel server.
L’email che riceve l’amministratore, oltre a indicare la macchina che ha iniziato l’infezione, contiene anche informazioni importanti come per esempio l’elenco dei file criptati (operazione normalmente non semplice, anzi quasi impossibile da fare se non manualmente).
Inoltre tutte le attività di BitSentinel vengono registrate nel visualizzatore di Windows in modo tale che con qualsiasi strumento sia possibile accedere a tali dati/notifiche.
In base a cosa BitSentinel ritiene di aver individuato un ransomware e fa quindi scattare gli allarmi?
Bitsentinel ha 5 metodi di rilevamento delle infezioni:
- Rilevamento per “crypto estensione”
Questo avviso viene generato quando un’estensione conosciuta come crypto extension viene individuata da Bitsentinel.
Questo tipo di allarme scatta quando sul disco fisso vengono scritti di file che contengono delle estensioni tipiche dei file criptati.
- Rilevamento per “sospetto file di riscatto”
Questo avviso viene generato quando i file definiti come “istruzioni per il pagamento del riscatto” (richiesto per decriptare i file) vengono riconosciuti da Bitsentinel.
Questo caso scatta quando nel computer vengono lasciati file o immagini contenenti le istruzioni per pagare il riscatto e riottenere i propri file, operazione che praticamente tutti i ransomware fanno al termine del loro lavoro di cifratura.
- Rilevamento per “troppi file creati/rinominati”
Questo avviso viene generato quando un comportamento massivo di rinomina file viene riconosciuto da Bitsentinel; il cambio di nome di tanti file in pochissimo tempo è un tipico comportamento da ransomware.
- Rilevamento per “estensione sconosciuta”
Questo avviso viene generato quando Bitsentinel rileva una scrittura di un certo numero di file con estensioni che non sono presenti nel proprio database.
A tal proposito è possibile personalizzare l’elenco dei file conosciuti: in questo modo se possiedi un applicativo che genera file con un’estensione non nota a priori, a BitSentinel si può aggiungere tale estensione e non generare falsi postivi.
- Rilevamento per “file corrotto”
Questo avviso viene generato quando Bitsentinel rileva l’anomalia di un certo numero di file compromessi o corrotti. Questo tipo di rilevamento è molto importante perché concorre a rilevare le potenziali infezioni anche sui file a cui non viene modificata l’estensione (e alcuni ransowmare in passato hanno manifestato proprio questo comportamento).
Chiudo ripetendo quanto già detto all’inizio: Bitsentinel non previene l’infezione (l’antivirus è necessario), ma consente di ridurre al minimo la perdita dei dati in caso di infezione.
Se sei interessato a BitSentinel puoi trovare informazioni (e una versione di prova) sul sito www.bitsentinel.it.