La nuova tecnica del file system Microsoft può rendere il ransomware “invisibile”


28 Novembre 2019 - Nyotron ha rilevato una nuova tecnica che consente agli hacker di crittografare i file Windows in un modo che i prodotti anti-ransomware esistenti non sono in grado di rilevare.
Nyotron ha rilevato una nuova tecnica che consente agli hacker di crittografare i file Windows in un modo che i prodotti anti-ransomware esistenti non sono in grado di rilevare.

Il ransomware è una delle principali minacce alla sicurezza informatica, al punto che, secondo il recente Rapporto sulle indagini sulla violazione dei dati di Verizon, è la seconda funzionalità più diffusa implementata dagli hacker, che appare nel 28% di tutti gli incidenti osservati.

Ora, tuttavia, potrebbe essere diventato più difficile da rilevare. Nyotron, una società di software di sicurezza con sede in California, ha pubblicato un rapporto (21 novembre) che descrive in dettaglio una nuova vulnerabilità che ha soprannominato "RIPlace".

La vulnerabilità può consentire agli hacker di aggirare le difese esistenti del sistema facendo affidamento su un'opzione "rinomina" del file system legacy in Microsoft Windows. Questo bypass può essere eseguito in sole due righe di codice.

Secondo il fondatore e CTO di Nyotron, Nir Gaist, la società ha seguito le pratiche di divulgazione e ha incoraggiato tutti i fornitori di sicurezza ad affrontare la vulnerabilità. Inoltre, la società ha reso disponibile uno strumento gratuito, che può essere utilizzato per verificare se un sistema è vulnerabile.

Il metodo unico di modifica dei file significa che, sebbene non "nasconda" il malware in sé, è utile per modificare furtivamente i file su un sistema. "Quindi, dal punto di vista dell'attore di minaccia, sarebbe probabilmente più" utile "nel ransomware", ha continuato Gaist.

La società ha dimostrato che un ransomware proof-of-concept che sfrutta le tecniche di evasione di RIPlace può infettare i dispositivi con l'antivirus Windows Defender e i prodotti Symantec Endpoint Protection abilitati.

Ad agosto, i ricercatori di Check Point hanno scoperto una vulnerabilità nelle fotocamere Canon che li ha lasciati aperti agli attacchi di ransomware.

L'azienda ha studiato se il protocollo di trasferimento delle immagini della videocamera potesse essere utilizzato per consentire a un hacker di assumere la videocamera e infettarla con il ransomware. Sebbene l'hacker in questo caso avesse bisogno di trovarsi nelle immediate vicinanze del dispositivo per infettarlo, la vulnerabilità ha ispirato l'allarme e il timore che potesse esistere su altri dispositivi "intelligenti".



Commenti:

Nessun commento

Accedi al portale per commentare l'articolo. Accedi