WithSecure Activity Monitor annulla le modifiche dei ransomware

Le sandbox sono ambienti isolati che permettono di eseguire codice sconosciuto per verificarne l’impatto su un sistema o sui dati. Windows Sandbox, ad esempio, è una soluzione proposta da Microsoft e integrata nelle ultime versioni del sistema operativo che permette di scongiurare modifiche potenzialmente impattanti.

WithSecure, precedentemente nota come F-Secure Business, ha sviluppato una tecnologia di sandboxing che permette di annullare le modifiche applicate dal malware, ad esempio un ransomware.

Molte soluzioni per la protezione degli endpoint utilizzano la funzionalità Copie shadow (Shadow Copy) di Windows.
Com’è noto, tuttavia, tanti ransomware disattivano questa funzionalità cancellando le copie dei dati conservate sulla macchina in uso: l’approccio di WithSecure è nuovo, in quanto si limita a eseguire il backup di ciò che è necessario solamente per lo stretto essenziale.

Activity Monitor, questo il nome della soluzione sviluppata da WithSecure, è stata realizzata per rendere più accessibili le funzionalità di una sandbox: crea backup selettivi del sistema e dei dati quindi consente al codice di essere eseguito su un sistema mentre la sessione viene costantemente monitorata.

Quando Activity Monitor rileva modifiche che potrebbero essere pericolose, blocca i processi malevoli e utilizza i backup creati in precedenza per ripristinare la sessione allo stato in cui si trovava prima dell’esecuzione del codice malevolo.

L’idea alla base di Activity Monitor, secondo Broderick Aquilino, Lead Researcher di WithSecure, è quella di ispirarsi al funzionamento delle sandbox superando però le molteplici limitazioni di queste ultime, compreso il consumo rilevante di risorse macchina.

Secondo una ricerca elaborata dall’Agenzia dell’Unione europea per la cibersicurezza, le infezioni da ransomware sarebbero costate, a livello mondiale, fino a 18 miliardi di euro nel 2021.
La maggior parte dei ransomware provvede a crittografare i dati delle vittime e poi fornisce chiavi di decodifica previo versamento di una somma in denaro (riscatto) da parte della vittima. Activity Monitor è progettato per rilevare questo tipo di modifiche e, una volta individuati i processi crittografici, li interrompe e ripristina i dati annullando gli effetti dell’infezione.

La prima implementazione della tecnologia in una soluzione software commerciale è stata aggiunta come parte integrante di WithSecure Elements Endpoint Protection for Servers.