Passa ai contenuti principali

Il modello ranDecepter, rilevare e bloccare il ransomware in tempo reale è (quasi) realtà

Negli ultimi anni, l'evoluzione delle minacce ransomware ha seguito una traiettoria prevedibile quanto allarmante: da attacchi opportunistici a colpi chirurgici, mirati, capaci di bloccare intere infrastrutture critiche in pochi minuti. A questa corsa all’armamento offensivo non è seguita un’adeguata accelerazione sul fronte della difesa in tempo reale, perché identificare un attacco ransomware nel momento esatto in cui si innesca, e fermarlo prima che abbia criptato anche solo un decimo dei dati, è ancora un’impresa per pochi. Il lavoro presentato nel paper "ranDecepter: Real-time Identification and Deterrence of Ransomware Attacks", pubblicato il 1° agosto 2025 su arXiv, propone un approccio tecnico concreto e, soprattutto, scalabile, per affrontare questo problema alla radice: riconoscere l’attacco mentre è in atto e rispondere con una deterrenza immediata, attiva, ma non distruttiva.

La logica di ranDecepter si distanzia dai soliti sistemi di detection ex post, che notificano un incidente quando ormai il danno è fatto, e si concentra invece su un’analisi comportamentale puntuale a livello di file system e attività di processo. A colpire è l’architettura modulare della soluzione, che integra un motore di monitoraggio delle API di basso livello, un sistema di pattern matching in tempo reale e una componente di contrasto attivo che blocca o ritarda le operazioni sospette sulla base di un’analisi del rischio incrementale. Il cuore pulsante dell’intero framework è un meccanismo di classificazione semi-supervisionato che non si affida soltanto a modelli statici ma è capace di apprendere, raffinare e adattarsi dinamicamente al contesto in cui è installato, riducendo la dipendenza da firme predefinite e rendendolo più resistente ai ransomware polimorfici o offuscati.

Un dettaglio notevole riguarda la scelta delle metriche utilizzate per distinguere i processi benigni da quelli malevoli: il sistema monitora simultaneamente la frequenza di accesso e modifica dei file, la velocità di cifratura, la tipologia di estensioni generate, i pattern di I/O disco, e incrocia questi segnali con l’identità e la reputazione del processo coinvolto. Laddove l’insieme di questi fattori supera una soglia dinamicamente calcolata, il modulo di deterrenza entra in funzione applicando un "delay jitter" – un rallentamento strategico delle operazioni – che ha lo scopo non solo di guadagnare tempo per la verifica manuale o automatica ma anche di ingannare gli eventuali watchdog del malware, inducendolo a terminare l’esecuzione in autonomia.

Ciò che rende ranDecepter particolarmente interessante dal punto di vista operativo è che non punta a uccidere il processo immediatamente, come farebbe un antivirus tradizionale, ma ad alterarne il comportamento inducendo un fallimento o un crash silenzioso. Questo approccio è vantaggioso su più fronti: da un lato, minimizza il rischio di perdita di dati legittimi o blocco di processi critici, dall’altro rende più difficile per l’attaccante comprendere se il proprio payload è stato rilevato, evitando escalation automatiche o retaliation script che spesso sono integrati nei ransomware moderni.

I test sperimentali condotti dai ricercatori mostrano risultati decisamente promettenti: il sistema ha intercettato oltre il 96% delle varianti ransomware note e sconosciute testate in laboratorio, con un tasso di falsi positivi inferiore al 2,1%, e un impatto sulle performance del sistema target pressoché trascurabile, inferiore al 4% di overhead complessivo. Il framework è stato testato in ambienti Windows, sia su macchine consumer che server, e ha dimostrato la capacità di adattarsi in modo resiliente a configurazioni eterogenee, rendendolo un candidato interessante anche per deployment aziendali o in ambienti cloud IaaS dove il rischio ransomware è elevato ma l’intervento umano spesso è ritardato o assente.

Sul piano pratico, ciò che si potrebbe immaginare nel breve termine è un’integrazione di ranDecepter con EDR o XDR esistenti, in modo da potenziare la capacità di risposta dei SOC aziendali senza stravolgere le infrastrutture esistenti. La natura modulare della soluzione apre anche alla possibilità di offrire ranDecepter come agente standalone per endpoint ad alto rischio o come modulo embedded in appliance hardware di sicurezza per ambienti industriali. Non meno importante, il framework si presta bene anche a contesti forensi: il delay introdotto può fornire una finestra utile per il dump del processo e l’analisi live del ransomware in esecuzione, senza bisogno di sandbox esterne.

In definitiva, ranDecepter non è solo un’altra proposta accademica destinata a rimanere confinata in qualche slide da conferenza, ma un esempio concreto di come la sicurezza informatica possa fare un passo avanti, anche nei contesti più difficili, combinando detection comportamentale, apprendimento semi-supervisionato e risposta attiva a basso impatto. Per chi si occupa di cyber security operativa, o anche solo per chi vuole dormire sonni più tranquilli in un mondo dove il prossimo ransomware è sempre dietro l’angolo, è una lettura – e forse presto, un tool – da tenere d’occhio.
Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »