ShieldFS, il radar per ransomware creato al Politecnico di Milano
Un gruppo di ricercatori dell’università italiana ha creato uno strumento per indentificare e bloccare un attacco ransomware su un computer
Gli attacchi ransomware stanno mettendo in ginocchio privati e grandi aziende. E perfino enti pubblici, ospedali e società di telecomunicazioni. Nessuno sembra poter sfuggire al malware più temuto degli ultimi anni. Eppure un’invenzione del Politecnico di Milano può cambiare questa tendenza.
Il gruppo di ricerca dell’università italiana, guidato da Andrea Continella, ha realizzato una sorta di radar anti-ransomware. Si tratta di uno strumento che rileva automaticamente, quasi in tempo reale, il malware e ripristina il sistema, attraverso i backup eseguiti in precedenza, prima che gli hacker possano bloccare completamente i file presenti sul computer. Il radar si chiama ShieldFS e non si tratta di una piattaforma antivirus poiché è in grado di individuare solamente gli attacchi ransomware. L’aspetto più sorprendente è che lo strumento è in grado di riconoscere qualsiasi ransomware, anche quelli ancora non scoperti.
Il radar anti-ransomware
Analizzando i programmi che sfruttano dei comportamenti crittografici, ShieldFS è in grado di capire istantaneamente se un computer è a rischio attacco da parte di un ransomware. Questo è un aspetto che protegge gli utenti sia da attacchi totalmente nuovi sia da versioni aggiornate di ransomware già conosciuti. Per realizzare questo strumento i ricercatori hanno lavorato con comuni tipi di ransomware, come CryptoLocker e TeslaCrypt. Mentre durante Black Hat, la conferenza mondiale sulla sicurezza informatica, il gruppo di ricercatori ha messo alla prova ShieldFS contro il famoso virus WannaCry, che ultimamente ha scosso l’attenzione pubblica sul tema dei ransomware.
Come agisce ShieldFS
Quando ShieldFS rileva un nuovo programma sospetto entra in una fase di osservazione per determinare se si tratta di un ransomware. Durante questo tempo, che i ricercatori chiamano “shadowing”, letteralmente pedinamento, ShieldFS inizia a tenere un registro di tutto ciò che il programma intrusivo fa e a quali file accede. Se lo strumento conclude che il programma è dannoso blocca il codice e ripristina il dispositivo. In caso di un falso positivo, ovvero qualora ShieldFS blocchi un programma non pericoloso, non ci sono danni collaterali. Durante le varie analisi dei ransomware i ricercatori hanno inoltre scoperto che quasi tutti questi malware agiscono allo stesso modo. Un comportamento unico che rende più facile individuare il virus.
Limiti di ShieldFS
Il limite principale di ShieldFS è che al momento protegge solo dai ransomware tradizionali. Ovvero quelli che cercano di bloccare i file di un dispositivo. Il radar non riesce a individuare invece le nuove tipologie di malware che bloccano l’accesso al macchinario per l’utente caduto nella trappola. In pratica non protegge dalla cosiddetta famiglia Pazy dei ransomware. Si tratta di virus che hanno messo in ginocchio diverse aziende e società pubbliche dell’Ucraina nell’ultimo anno. Per fortuna, però, la stragrande maggioranza degli attacchi avviene con ransomware “classici”.
