Domenica, 14 Maggio 2017 22:00

WannaCry, mettersi al riparo dal ransomware che ha colpito PC in tutto il mondo.

“WannaCry”, “WanaCryptor” o “WanaCrypt0r” è un ransomware che nel weekend ha colpito migliaia di computer in tutto il mondo. Come proteggere i PC e le macchine virtuali con Windows.

Numerose organizzazioni a livello mondiale sono state colpite da questo attacco hacker che ha utilizzato e sta utilizzando il protocollo SMB (Server Message Block) per propagarsi nei PC con Windows all’interno delle reti aziendali.

Il vettore d’attacco , come rilevato dagli specialisti di sicurezza informatica quali Incident Response di Check Point, può presentarsi in numerosi modi: un link all’interno di una mail, un link contenuto in un documento PDF o come un file ZIP cifrato (protetto da password) che contiene un PDF che dà avvio alla catena di infezione.
Il ransomware che ha sferrato l’attacco è la versione 2.0 di WCry, noto come WannaCry o WanaCrypt0r. La versione 1.0 di questo ransomware era stata scoperta lo scorso 10 febbraio, ma il ransomware era stato poco utilizzato. Nella serata di Venerdì 12 Maggio la versione 2.0 è stata responsabile di un attacco mondiale che è ancora in corso.
Questo ultimo attacco globale è particolarmente pericoloso perché il malware utilizzato oltre a essere un ransomware, rientra nella categoria worm (malware in grado di autoreplicarsi). Il worm si diffonde ad altri computer tramite appunto una mail o una rete di pc. Una volta che il PC viene colpito, il worm cifra i dati e blocca il dispositivo finché non viene pagato un minimo di 300 dollari in moneta virtuale bitcoin. 
Oltre gli ospedali britannici, l’attacco ha coinvolto aziende presenti in Russia, Turchia, Indonesia, Vietnam, Giappone, Spagna e Germania. In Spagna sono state coinvolte aziende come Telefonica e Santander. In Italia il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche, sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure idonee a garantire la massima sicurezza delle infrastrutture informatiche del Paese. Sono state colpite alcune università ma al momento non si hanno evidenze di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese.

Come agisce il malware
il malware viene ricevuto via rete o collegando chiavette USB “infette”. Il malware si installa nella macchina “vittima” sfruttando un bug noto come “EternalBlue” e colloca l’eseguibile “mssecsvc.exe” nella directory di sistema C:\windows. Si installa come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
La prima attività consiste nel criptare determinate tipologie di file. La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la suddetta vulnerabilità del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445. Non è ancora noto se installa anche qualche backdoor. Stranamente, il codice sorgente contiene una richiesta Open_Internet verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete (una “debolezza” che ha consentito di bloccare il malware grazie ad un utente che ha registrato un dominio ad hoc).
La Polizia di Stato avverte che non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0, ovvero al riavvio delle macchine con l’inizio della settimana lavorativa.

Come difendersi?


Per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura, si consiglia quanto prima di:

• eseguire l’aggiornamento di sistemi operativi della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
• aggiornare il software antivirus
• disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
• il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
• il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Per le aziende
• eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);
• dove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).
 
Altri consigli 
Eseguire periodici Backup dei file più importanti: fare una copia offline dei propri file su un dispositivo esterno e su un servizio cloud online. Questo metodo protegge i file, non solo da ransomware, ma anche da altri pericoli. Nota: i dispositivi esterni devono essere utilizzati per solo per il backup ed essere disconnessi immediatamente dopo il completamento dello stesso.
I malintenzionati sono costantemente alla ricerca di modi per rubare il nostro denaro, i dati privati e le risorse del nostro dispositivo – non lasciamoglielo fare. Non apriamo email che non ci aspettiamo di ricevere, non clicchiamo sui link a meno che non sappiamo esattamente cosa sono e dove portano, e se viene chiesto di eseguire macro in un file di Office, non facciamolo. Inoltre, tenersi informati sulle più recenti campagne di malware aiuta a non cadere vittima di una nuova e originale tecnica di phishing o a non scaricare un’app malevola, che può portare all’installazione di malware sul nostro computer o il furto delle credenziali.
Dotarsi di una soluzione di sicurezza completa e aggiornata: soluzioni e prodotti di sicurezza di qualità proteggono da una varietà di tipi di malware e da diversi vettori di attacco. Le odierne soluzioni di antivirus, IPS e sandboxing possono rilevare e bloccare i documenti di Office contenenti macro dannose e impedire a molti kit di exploit di sfruttare il sistema anche prima dell’infezione malware.