Passa ai contenuti principali

Il modello ranDecepter, rilevare e bloccare il ransomware in tempo reale è (quasi) realtà

Negli ultimi anni, l'evoluzione delle minacce ransomware ha seguito una traiettoria prevedibile quanto allarmante: da attacchi opportunistici a colpi chirurgici, mirati, capaci di bloccare intere infrastrutture critiche in pochi minuti. A questa corsa all’armamento offensivo non è seguita un’adeguata accelerazione sul fronte della difesa in tempo reale, perché identificare un attacco ransomware nel momento esatto in cui si innesca, e fermarlo prima che abbia criptato anche solo un decimo dei dati, è ancora un’impresa per pochi. Il lavoro presentato nel paper "ranDecepter: Real-time Identification and Deterrence of Ransomware Attacks", pubblicato il 1° agosto 2025 su arXiv, propone un approccio tecnico concreto e, soprattutto, scalabile, per affrontare questo problema alla radice: riconoscere l’attacco mentre è in atto e rispondere con una deterrenza immediata, attiva, ma non distruttiva.

La logica di ranDecepter si distanzia dai soliti sistemi di detection ex post, che notificano un incidente quando ormai il danno è fatto, e si concentra invece su un’analisi comportamentale puntuale a livello di file system e attività di processo. A colpire è l’architettura modulare della soluzione, che integra un motore di monitoraggio delle API di basso livello, un sistema di pattern matching in tempo reale e una componente di contrasto attivo che blocca o ritarda le operazioni sospette sulla base di un’analisi del rischio incrementale. Il cuore pulsante dell’intero framework è un meccanismo di classificazione semi-supervisionato che non si affida soltanto a modelli statici ma è capace di apprendere, raffinare e adattarsi dinamicamente al contesto in cui è installato, riducendo la dipendenza da firme predefinite e rendendolo più resistente ai ransomware polimorfici o offuscati.

Un dettaglio notevole riguarda la scelta delle metriche utilizzate per distinguere i processi benigni da quelli malevoli: il sistema monitora simultaneamente la frequenza di accesso e modifica dei file, la velocità di cifratura, la tipologia di estensioni generate, i pattern di I/O disco, e incrocia questi segnali con l’identità e la reputazione del processo coinvolto. Laddove l’insieme di questi fattori supera una soglia dinamicamente calcolata, il modulo di deterrenza entra in funzione applicando un "delay jitter" – un rallentamento strategico delle operazioni – che ha lo scopo non solo di guadagnare tempo per la verifica manuale o automatica ma anche di ingannare gli eventuali watchdog del malware, inducendolo a terminare l’esecuzione in autonomia.

Ciò che rende ranDecepter particolarmente interessante dal punto di vista operativo è che non punta a uccidere il processo immediatamente, come farebbe un antivirus tradizionale, ma ad alterarne il comportamento inducendo un fallimento o un crash silenzioso. Questo approccio è vantaggioso su più fronti: da un lato, minimizza il rischio di perdita di dati legittimi o blocco di processi critici, dall’altro rende più difficile per l’attaccante comprendere se il proprio payload è stato rilevato, evitando escalation automatiche o retaliation script che spesso sono integrati nei ransomware moderni.

I test sperimentali condotti dai ricercatori mostrano risultati decisamente promettenti: il sistema ha intercettato oltre il 96% delle varianti ransomware note e sconosciute testate in laboratorio, con un tasso di falsi positivi inferiore al 2,1%, e un impatto sulle performance del sistema target pressoché trascurabile, inferiore al 4% di overhead complessivo. Il framework è stato testato in ambienti Windows, sia su macchine consumer che server, e ha dimostrato la capacità di adattarsi in modo resiliente a configurazioni eterogenee, rendendolo un candidato interessante anche per deployment aziendali o in ambienti cloud IaaS dove il rischio ransomware è elevato ma l’intervento umano spesso è ritardato o assente.

Sul piano pratico, ciò che si potrebbe immaginare nel breve termine è un’integrazione di ranDecepter con EDR o XDR esistenti, in modo da potenziare la capacità di risposta dei SOC aziendali senza stravolgere le infrastrutture esistenti. La natura modulare della soluzione apre anche alla possibilità di offrire ranDecepter come agente standalone per endpoint ad alto rischio o come modulo embedded in appliance hardware di sicurezza per ambienti industriali. Non meno importante, il framework si presta bene anche a contesti forensi: il delay introdotto può fornire una finestra utile per il dump del processo e l’analisi live del ransomware in esecuzione, senza bisogno di sandbox esterne.

In definitiva, ranDecepter non è solo un’altra proposta accademica destinata a rimanere confinata in qualche slide da conferenza, ma un esempio concreto di come la sicurezza informatica possa fare un passo avanti, anche nei contesti più difficili, combinando detection comportamentale, apprendimento semi-supervisionato e risposta attiva a basso impatto. Per chi si occupa di cyber security operativa, o anche solo per chi vuole dormire sonni più tranquilli in un mondo dove il prossimo ransomware è sempre dietro l’angolo, è una lettura – e forse presto, un tool – da tenere d’occhio.
Tag:

Commenti

Posta un commento

Popolari

IPv6, come siamo passati dai camuffamenti (tunnel broker) su IRCNet alle sfide di sicurezza di oggi

All’inizio degli anni 2000, prima che l’IPv6 fosse una realtà comune, per connettersi alla nuova rete servivano i tunnel broker: nodi messi in piedi da appassionati o provider che permettevano di avere un indirizzo IPv6 incapsulato dentro IPv4. In Italia c’erano nomi che oggi sembrano quasi leggendari: NGnet, Zibibbo, e poi, su scala più internazionale, SixXS, che per anni ha fornito tunnel di altissima qualità fino a dichiarare “mission accomplished” e chiudere nel 2017. Erano anni in cui IPv6 era roba da smanettoni, e la comunità IRCNet italiana era uno dei posti dove questo “potere” trovava applicazioni creative. Personalmente lo usavo per camuffare il mio IPv4: mentre con un indirizzo 95.x.x.x il server IRC mostrava il reverse DNS dell’ISP, con IPv6 potevo scegliere il mio indirizzo nel blocco assegnato, evitando di esporre il mio IP reale e cambiandolo a piacere. In quel periodo circolavano anche strumenti curiosi, come ipv6fuck.c dell’autore “schizoid”, un codice C che serviva pe...
Posta un commento
Continua a leggere »

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »