Cracker e malware sempre più astuti: d’altronde, se le tutele informatiche si fortificano, i pirati del web dovranno farsi ancora più furbi, e con Snatch ci sono riusciti. Purtroppo.

Come abbiamo specificato in uno degli ultimi articoli, gli investimenti nell’implementazione di sistemi informatici a prova di intrusione sono ad oggi ancora troppo pochi, pur essendo gli attacchi informatici all’ordine del giorno e in grado di rappresentare il nemico pubblico numero uno delle aziende, italiane e non.

Perdita di know how industriale, danni ai diritti di clienti, fornitori, utenti a causa di perdita di dati mal conservati sulle strutture IT, lesioni reputazionali sono costi che aggravano il bilancio d’esercizio ben più prepotentemente rispetto agli investimenti in nuove tecnologie.

I malware sono sempre più intelligenti e per raggiungere il proprio obiettivo si ingegnano pericolosamente. Snatch è la new entry nel panorama del cyber crime: vediamo come lavora. Snatch fa parte della famiglia dei ransomware e per appropriarsi delle informazioni contenute sul pc infettato sfrutta una funzionalità di Windows, lavorando silentemente dal momento dell’intrusione fino a data da destinarsi.

Quando Snatch entra nel sistema operativo di un pc non provvede a cifrare immediatamente i file ma cerca di propagarsi, ad esempio mostrandosi come innocuo link o allegato, e quando riesce a penetrare il pc preso di mira, si “autoregistra” come “servizio di sistema da eseguire in modalità provvisoria“.

Qual è il punto? I sistemi operativi Windows permettono di eseguire in modalità provvisoria solamente i cosiddetti servizi essenziali, escludendo tutto ciò che non è fondamentale per la sopravvivenza del sistema. Gli antivirus, alleati fondamentali per individuare e bloccare i malware che tentano un attacco, non sono registrati in modalità essenziale, restando inoperativi in caso di avvio del PC in modalità provvisoria. Snatch, dopo essersi registrato come servizio essenziale riavvia il PC infettato in modalità provvisoria, riuscendo così ad eludere la protezione antivirus dormiente.

La modalità operativa è nuovissima e non deve essere sottovalutata. Ricordiamo sempre di controllare i mittenti delle comunicazioni email, di non scaricare allegati, né cliccare su link incorporati alle comunicazioni se non siamo assolutamente certi dell’autenticità della fonte: come diciamo sempre durante le nostre formazioni… “fare una chiamata di conferma al presunto mittente può far risparmiare anche prepotenti rompicapo”.