SicurezzaSoftwareSonicwall

Cryptolocker / CryptoWALL: Protetti dall’approccio multilivello di DELL SonicWALL!

Tra la fine dello scorso anno e l’inizio del 2015, il pericolo numero uno è stato identificato nel malware Cryptolocker (e varianti) con un’eco molto importante su tutta la stampa cartacea e online non solo di settore ma anche generalista, dando inoltre origine a molteplicii allarmi diramati dalla polizia postale sul proprio canale di informazione nonchè sui telegiornali di ogni ordine e grado:

determinando una quantità molto elevata di infezioni in giro per il Bel Paese e un super lavoro per i tecnici informatici e gli Amministratori IT.

CryptoWALL e Cryptolocker sono dei ransomware, software malevolo creato allo scopo di restringere l’accesso al dispositivo infetto e ai file in esso contenuti richiedendo un riscatto per renderli nuovamente disponibili, che normalmente colpisce attraverso allegati email. Una volta che il computer è infettato, questa tipologia di malware critta determinati file immagazzinati sul computer, facendo apparire all’utente un messaggio con la richiesta di denaro per decrittare nuovamente i file ostaggio. Normalmente l’infezione parte quando l’utente clikka su un allegato eseguibile contento nella mail di spam.

39_-_Pericolo_generico Update: una nuova variante è CryptoWALL 2.0. E’ simile a CryptoLocker e CryptoWALL ma utilizza TOR per andare a prendere le chiavi di crittografia.
Con i firewall di ultima generazione di DELL SonicWALL abbiamo molte armi con cui difenderci da questa tipologia di malware ed inoltre, grazie all’approccio multilivello alla sicurezza di rete sponsorizzato dal vendor, possiamo contare sull’ulteriore linea di difesa messa in atto dalla componente Enforced Client Anti-Virus & Anti-Spyware, powered by McAfee SaaS Endpoint Protection.

NGFW – prima linea di difesa 

Grazie alla potenza del motore RF-DPI brevettato dal DELL SonicWALL e alla puntualità dei servizi di sicurezza attivabili sul Next Generation Firewall, abbiamo disponibile un ventaglio prodigioso di protezione contro queste minaccie.
SonicWALL Gateway Anti-Virus, Cloud AV e SonicWALL IPS forniscono protezione contro queste minaccie attravero le seguenti signature:
Botnet Filter: con questa funzionalità attiva è possibile bloccare l’accesso del malware verso i server di Comando e Controllo conosciuti. Sulla pagina Security Services > Botnet Filter page, abilitare il check box, Block connections to/from Botnet Command and Control Servers.
Content Filtering Services (CFS): configurarlo per bloccare i siti nelle categorie “Malware” e “Hacking/Proxy Avoidance Systems“.
Application Control – Advanced: CryptoWall è noto per utilizzare TOR per ottenere le chiavi di crittazione utilizzate per crittografare i file sul PC infettato. Pertanto è consigliato utilizzare la funzionalità di Application Control Advanced per bloccare l’utilizzo di TOR. Abilitando queste signature infatti, CryptoWall non è in grado di ottenere le chiavi necessarie a crittografare i fielmitigando di conseguenza ulteriori danni sul computer infetto.
DPI-SSL Client Inspection: Abilitando la funzionalità accessoria di Client DPI-SSL, anche se non è una misura obbligatoria, potrebbe fornirre un elemento di sicurezza addizionale dato che:

  1. la maggior parte del traffico Web ed email avviene sfruttando la crittografia SSL (se ad esempio una email di spam viene ricevuta mediante una connessione SSL, la macchian firewall DELL SonicWALL non sarebbe in grado di individuare il malware ivi trasportato)
  2. la connessione iniziale al gateway TOR avviene sfruttando SSL.

Licenziando ed abilitando questa feature (disponibile per tutte le macchine di fascia NSA e superiori), diamo modo al Next Generation Firewall DELL SonicWALL di decrittare questo traffico e di individuare eventuale malware traspostato.

Client AV Enforcement – il bastione a difesa della postazione

Le infezioni da CryptoWall e CryptoLocker non avvengono sempre attaverso Internet. Possono infatti verificarsi attraverso file e/o unità condivise oppure attraverso l’utilizzo di supporti rimovibili quali pen drive e hard disk esterni. Pertanto gli Amministratori di rete devono considerare di adottare una strategia di protezione anche a livello di postazione in modo da proteggere gli host della rete in modo che non siano infettati dall’interno.
I firewall Dell SonicWALL forniscono un’innovativa strategia antimalware multistrato che comprende la soluzione antimalware proprietaria Reassembly-Free Deep Packet Inspection® a livello di gateway e la soluzione antivirus applicata a livello di endpoint (Client AV Enforcement). Quando un endpoint non conforme all’interno della rete tenta di connettersi a Internet, il firewall indirizzerà l’utente a una pagina web per l’installazione del software più recente Dell SonicWALL Enforced Client Anti-Virus and Anti-Spyware.

La soluzione fornisce automaticamente all’endpoint le definizioni di sicurezza aggiornate non appena sono disponibili, così da offrire protezione dalle odierne minacce in continua evoluzione.

L’engine di scansione McAfee aggiornato alla versione 5600.1067 e l’ultimo DAT file contengono le firme virali utili a mitigare l’infezione da CryptoLoker/CryptoWALL.

Maggiori dettagli sulle varie metodologie di infezione:

https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=601
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=695
https://blogs.mcafee.com/mcafee-labs/cryptowall-ransomware-built-with-rc4-bricks