Intel prende di mira i ransomware con i suoi nuovi processori

Le nuove funzionalità dei processori Intel di 11° generazione per dispositivi mobili renderanno più difficile per il ransomware evitare il rilevamento.

ransomware

I fornitori di sicurezza possono ora sfruttare le nuove capacità di elaborazione di telemetria e machine learning integrate nei processori mobili di 11a generazione di Intel per rilevare e bloccare meglio anche i ransomware più sofisticati che tentano di eludere le tecniche di rilevamento tradizionali. Queste funzionalità sono integrate nelle CPU Intel Core progettate per le aziende che includono il set di funzionalità vPro.

Oltre alle capacità di gestione IT, la piattaforma vPro fornisce varie funzionalità di sicurezza potenziate dall’hardware sotto il nome di Hardware Shield. Queste includono esecuzione affidabile, virtualizzazione, crittografia della memoria e tecnologia di rilevamento delle minacce (Intel TDT).

Come funziona Intel TDT

Intel TDT utilizza i dati di telemetria dall’unità di monitoraggio delle prestazioni (PMU) della CPU combinati con l’euristica del machine learning per rilevare potenziali minacce. Alcuni tipi di programmi dannosi influiscono sulle prestazioni della CPU a causa del tipo di attività che eseguono. I programmi ransomware rientrano chiaramente in questa categoria a causa delle loro pesanti routine di crittografia dei file, così come i cryptominer, programmi dannosi che dirottano la CPU o la GPU del computer per estrarre criptovaluta all’insaputa dell’utente.

adv

L’impatto sulle prestazioni si riflette nei dati di telemetria della PMU e i modelli di machine learning possono utilizzarli per identificare comportamenti potenzialmente sospetti o anomali che potrebbero indicare la presenza di malware. I prodotti per la sicurezza eseguiti all’interno del sistema operativo possono utilizzare i segnali di Intel TDT per attivare ulteriori flussi di lavoro di scansione e correzione. In sostanza, ciò consente il rilevamento del malware basato sul comportamento a livello di CPU.

“Le difese tipiche si concentrano sul rafforzamento della sicurezza attraverso anti-phishing, backup o altri metodi proattivi: queste sono ottime pratiche ma gli attacchi alla fine possono comunque avere successo” ha dichiarato Michael Nordquist, direttore senior della pianificazione strategica e dell’architettura nel Business Client Group di Intel. “In questi casi, Intel TDT è in grado di rilevare i ceppi di ransomware più diffusi sin dall’inizio della crittografia dei file e può segnalare immediatamente al software AV/EDR di porre rimedio all’attacco. Ciò può risultare prezioso non solo per limitare il danno sugli endpoint, ma può anche prevenire danni laterali ad altri endpoint o il vectoring nella rete o in app basate su Cloud/SaaS”.

Come il ransomware può nascondersi dal rilevamento tradizionale

Rilevare i programmi ransomware non è mai stato facile e gli aggressori hanno sempre trovato il modo per eludere i sistemi di sicurezza. I gruppi sofisticati che utilizzano l’hacking manuale ed eseguono ricognizioni per mesi all’interno delle reti aziendali sapranno molto bene quale software di rilevamento malware stanno utilizzando le loro vittime e potranno testare in anticipo per assicurarsi che il loro attacco non venga rilevato. Questo è uno dei motivi per cui le campagne di ransomware sono così efficaci e devastanti per le organizzazioni.

ransomware

Oltre al rilevamento basato sulla firma, i prodotti di sicurezza tentano di rilevare comportamenti simili a ransomware monitorando modelli insoliti nell’attività dei file. Ad esempio, la lettura e la scrittura di un numero elevato di file in determinate directory o con determinati tipi di file in rapida successione può indicare un’attività sospetta.

Le differenze significative nel contenuto dei file sovrascritti sono un altro esempio, poiché un file crittografato avrà un aspetto completamente diverso dal file originale. Tutti questi segnali insieme possono essere utilizzati per rilevare il ransomware, ma gli aggressori possono comunque tentare di nascondersi, ad esempio rallentando la crittografia dei file ed eseguendola in batch.

Alcuni gruppi di ransomware sono andati anche oltre. Ad esempio, i creatori di Ragnar Locker e Maze hanno iniziato a sfruttare la tecnologia di virtualizzazione per nascondere il loro processo dannoso nella memoria. Per ottenere ciò, hanno implementato Oracle VirtualBox sui computer delle vittime, impostato macchine virtuali Windows leggere e fornito loro l’accesso all’intero disco rigido del sistema operativo host; quindi hanno eseguito il loro ransomware all’interno della macchina virtuale dove la maggior parte dei programmi antivirus non può controllare.

Intel TDT trasferisce il machine learning alla GPU

La maggior parte delle CPU moderne è dotata di una GPU incorporata in grado di leggere la RAM fisica del computer tramite una funzionalità chiamata accesso diretto alla memoria (DMA). Ciò aiuta le GPU a eseguire le attività di elaborazione più velocemente e a condividere la RAM con il sistema operativo host. Intel TDT sfrutta questa funzionalità per accelerare i modelli di machine learning ad alta intensità di calcolo che utilizza per il rilevamento eseguendoli sull’unità grafica Intel Iris Xe integrata, liberando quindi la CPU per altre attività.

Ora, con la combinazione dei segnali esistenti dal sistema operativo e il comportamento dell’applicazione, gli indicatori di prestazioni a livello di CPU danno la possibilità di definire il ransomware con una precisione mai vista prima. Questa è un’evoluzione della tecnologia che consente di unire la visibilità a livello di sistema operativo con i contatori delle prestazioni a livello di CPU per capire davvero se c’è attività di ransomware.

Intel TDT esiste dal 2018 e alcune delle sue funzionalità sono già state adottate da altre soluzioni di sicurezza come Microsoft Defender, SentinelOne Singularity e Blackberry Optics. I miglioramenti aggiunti nelle CPU Intel vPro di 11a generazione sono stati progettati pensando al rilevamento del ransomware, data la natura diffusa di questa minaccia e il grave impatto che ha avuto sulle aziende di tutto il mondo negli ultimi anni.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!