Sono passati tre giorni dalle prime notizie sul cyber attacco mondiale messo in atto da ignoti e al momento si contano più di 200 mila computer colpiti, di aziende e grandi organizzazioni di 150 Paesi. Probabilmente si tratta di numeri approssimativi e sicuramente i danni finali di questo attacco informatico, passato alla storia col nome di “Wannacry”, “Wcry” e “Wannacryptor”, saranno molto più gravi di quanto finora emerso.
Dai primi accertamenti effettuati, si legge in un comunicato della Polizia di Stato, “sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese”.
Cosa fare in caso di attacco e come difendersi?
La Polizia Postale e delle Comunicazioni e in particolar modo il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche (Cnaipic) hanno diffuso diversi alert di sicurezza nelle ultime ore, con informazioni e consigli utili per prevenire i rischi e contenerne gli effetti in caso di contagio.
Di seguito il vademecum Cnaipic.
Lato client/server:
eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017 ;
aggiornare il software antivirus;
disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
il ransomware attacca sia share di rete che backup su cloud quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.
Lato sicurezza perimetrale:
eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (IPS/IDS);
ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
La lista degli indicatori è reperibile sul sito www.commissariatodips.it.
Come funziona il ransomware wannacry?
Wannacry è un ransomware, quindi una tipologia di malware che una volta infiltratosi nella macchina ne blocca l’utilizzo e, rivolgendosi direttamente al proprietario, richiede un riscatto per la liberazione della stessa e il riavvio del sistema opeativo.
Un malware non particolarmente complesso, ma che in molti credono frutto di un furto presso l’Agenzia americana Nsa (National Security Agency).
La descrizione del Cnaipic
Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione). Il malware si installa infatti nella macchina vittima sfruttando il noto “bug EternalBlue” e deposita l’eseguibile mssecsvc.exe nella directory di sistema “C:\windows”.
Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168; la seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB, con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.
Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.
Stranamente, evidenziano gli esperti della Polizia Postale, il codice sorgente contiene una richiesta Open Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.
Ovviamente, ci tengono a sottolineare dal Centro nazionale anticrimine informatico, “non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0”.
Anche l’Agenzia per l’Italia digitale (AgID), grazie al CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) ha diffuso ieri un documento guida di cyber sicurezza in cui sono riportate una serie di azioni “che possono essere assunte per mitigare l’impatto della campagna di attacchi informatici, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi”.
Secondo MalwareTech, nome dell’account Twitter di un giovane britannico di 22 anni che, unico al mondo per il momento, secondo la Bbc, sembrerebbe essere riuscito a fermare il malware, non si deve per nessun motivo abbassare la guardia pensando che il peggio sia passato.
“E’ probabile che l’attacco non sia affatto finito e anzi c’è la possibilità concreta di una nuova ondata di azioni su larga scala, più diffusa e potente”.
MalwareTech ha annunciato di aver individuato “un interruttore-killer, che era scritto nel malware stesso”, una sorta di pulsante di emergenza, con ogni probabilità inserito da chi ha creato il virus per la sua disattivazione.
Molti altri esperti di cybersecurity temono che gli stessi criminali potrebbero semplicemente cambiare il codice del primo assalto e così riproporre di nuovo l’attacco col suo carico di danni economici e non solo.
Ricordiamo che tra gli obiettivi del ransomware ci sono anche gli ospedali (come il britannico Royal London Hospital), gli istituti finanziari e le amministrazioni pubbliche.
Europol e le agenzie di intelligence e sicurezza americane, Fbi e Nsa, stanno ancora monitorando la rete in cerca di indizi, l’unica cosa certa è che a partire da oggi, con le persone che tornano a lavorare, si potrebbero avere ulteriori dati su quanti hardware sono stati coinvolti e su eventuali sottrazioni di dati sensibili.
