[CyberSecurity]: Una nuova tecnologia per annullare i danni causati dai ransomware

Gli attacchi ransomware sono una delle principali minacce di internet per le aziende. I cybercriminali criptano i dati della vittima e offrono di recuperare l’accesso ai dati in cambio del pagamento di un riscatto. È stato stimato che le infezioni da ransomware nel 2021 sarebbero arrivate a costare 18 miliardi di euro alle organizzazioni di tutto il mondo: una notevole perdita economica.

Per aiutare le aziende a gestire le minacce informatiche, è stata sviluppata una nuova tecnologia che può essenzialmente essere paragonata a un pulsanteannulla” per i ransomware.

La nuova tecnologia, chiamata Activity Monitor, monitora le attività potenzialmente dannose in tempo reale invece di bloccarle immediatamente o testarle in un ambiente isolato (sandbox). Activity Monitor crea backup selettivi del sistema e dei dati, quindi consente al codice di essere eseguito mentre monitora la sessione. Se rileva modifiche che potrebbero essere pericolose e la minaccia viene confermata, blocca i processi e utilizza i backup per ripristinare l’ambiente allo stato in cui si trovava prima dell’esecuzione del codice malevolo.

Il blocco istantaneo delle attività sospette, in alcune situazioni, può portare a falsi positivi e ritardi frustranti per l’utente. Ad esempio, un normale aggiornamento di un’applicazione potrebbe essere bloccato perché tenta di scaricare ed eseguire più codice da un server remoto, e quindi sembra sospetto. Ciò è comprensibilmente frustrante per l’utente, ma l’alternativa finora era bloccare le attività sospette più avanti nel processo e rischiare l’esecuzione di codice veramente dannoso. Allo stesso modo, nonostante mostri un quadro esaustivo del comportamento dei malware, l’analisi fornita da una sandbox richiede molte risorse e per questo ha un utilizzo limitato.

La nuova tecnologia risolve questi problemi molto bene, in particolare per gli attacchi ransomware. Poiché il software può annullare qualsiasi modifica dopo l’avvio del monitoraggio, non è necessario bloccare l’attività sospetta in prima istanza. Ci sono molti meno falsi positivi e meno interruzioni per l’utente. Se Activity Monitor individua i processi di crittografia, li interrompe e ripristina i dati allo stato non crittografato.

Rispetto a molte soluzioni di protezione degli endpoint che utilizzano le funzionalità che permettono la creazione manuale o automatica di copie di backup, che in molti casi ransomware o altri malware tentano attivamente di disabilitare per renderli inutilizzabili, l’approccio di WithSecure è nuovo, in quanto esegue il backup solo di ciò che è necessario e solo per il periodo in cui è necessario.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.