Cosa devi sapere su WannaCry
Cosa diavolo è successo?
Il 12 maggio 2017 numerosissime organizzazioni sono state colpite da un crypto-ransomware chiamato WannaCry. Gli utenti che sono stati infettati non possono usare le loro macchine e i loro file risultano crittografati fino a quando non pagheranno un riscatto di circa $300 in Bitcoin. Nel messaggio con la richiesta di riscatto si dice che se sei “troppo povero per pagare” quella cifra, potrai riavere i tuoi file gratuitamente… ma solo dopo 6 mesi.
Com’è possibile?
I Laboratori di F-Secure hanno messo in guardia sulla crescita esponenziale del ransomware e sui pericoli che gli strumenti di sorveglianza governativa causano quando sfuggono al controllo. WannaCry sembra combinare il peggio di questi pericoli.
Chi è stato colpito?
Sono state impattate un gran numero di organizzazioni, e un numero considerevole di infrastrutture pubbliche. Si tratta di una violazione su scala globale secondo i dati dei report di oltre 60 Paesi. Ha colpito organizzazioni nel mondo sanitario, così come le telco, aziende del settore gas ed elettrico. Per esempio, il National Health Service in Inghilterra è stata una delle organizzazioni più colpite, con ospedali chiusi e interventi rimandati.
Secondo i Laboratori di F-Secure, i Paesi più colpiti sono stati Russia, Cina, poi Francia, Taiwan, Stati Uniti, Ucraina e Sud Corea.
Quanto è grande?
Mikko Hypponen, Chief Research Officer di F-Secure, lo ha definito “il più grande attacco ransomware della storia” in termini di infezione. Ma fino a sabato mattina, il giorno dopo la diffusione del ransomware, aveva fatto solo $25.000, secondo Andy Patel dei Laboratori di F-Secure.
“La diffusione di WCry è stata rallentata dalle azioni di un “eroe fortuito” che ha registrato un nome di dominio ‘killswitch’ che ha trovato nel codice,” ha spiegato Andy. Tuttavia, non siamo ancora fuori dal guado. “Basta solo una piccola modifica di quel codice, e una sua re-release perché torni a diffondersi a macchia d’olio.”
Perché è così grande?
WannaCry sfrutta una falla nel Server Message Block (SMB) in Microsoft Windows che può consentire l’esecuzione di codice in remoto. Microsoft ha rilasciato una patch per questa vulnerabilità già in marzo (MS17-010), tuttavia molti ambienti IT non sono ancora stati aggiornati e/o potrebbero ancora avere in uso sistemi operativi legacy come XP che non sono più supportati nè aggiornati con patch di sicurezza. C’è anche un gran numero di macchine che sta utilizzando copie di Windows piratate (specialmente in Cina e Russia) che, per loro natura, non ricevono aggiornamenti ufficiali e lasciano quindi le macchine esposte a rischi.
Ma vista l’entità di questo attacco, Microsoft ha rilasciato in questi giorni una patch per XP e Server 2013.
Cosa poteva impedirlo?
L’entità dell’attacco è indicativo del numero di macchine che nel mondo non hanno implementato le patch con gli aggiornamenti di sicurezza. Potrebbero esserci 3 motivazioni per questo – la patch è stata resa disponibile in marzo ma non è stata installata su queste macchine per qualche ragione; queste macchine stanno usando una copia piratata di Windows (e quindi non ricevono aggiornamenti di sicurezza come accade ai clienti Microsoft); oppure stanno usando ancora Windows XP che non è più supportato e non riceve più aggiornamenti.
Come prevenirlo? Aggiorna sempre i tuoi software.
Perché si diffonde così velocemente?
Si sta diffondendo velocemente perché la vulnerabilità MS17-010 permette all’exploit di agire come un “worm”. E i worm si diffondono velocemente per natura. WannaCry ha funzionalità di un worm ed è in grado di scansire e localizzare altri host e replicare se stesso verso altre macchine esposte attraverso la vulnerabilità EternalBlue. Ciò non richiede alcuna interazione dell’utente. Le notizie che fosse stato distribuito inizialmente attraverso dello spam non sono state ancora accertate.
Worm o trojan?
WannaCry non è un worm Internet. E’ un trojan che sembra un worm una volta che è sulla rete.
Quindi perché sembra così familiare?
“Potrebbe sembrare un tuffo nel passato, perché questo genere di ransomware non è nulla di nuovo” ha spiegato Sean Sullivan, F-Secure security advisor. “Per troppo tempo, le organizzazioni hanno ignorato l’igiene basilare dei firewall e questo è il motivo per cui WannaCry è sfuggito di mano così facilmente.”
Sono protetto da questa minaccia?
I clienti con soluzioni di protezione avanzata degli endpoint di F-Secure, che offrono tecnologia di prossima generazione, risultano protetti. La funzionalità DeepGuard di F-Secure fornisce analisi del comportamento basata sull’host e rilevazione degli exploit che consente di bloccare proattivamente ransomware come WannaCry.
Le organizzazioni dovrebbero accertarsi di avere firewall propriamente configurati e di aver installato gli ultimi aggiornamenti di sicurezza di Windows, in particolare MS17-010, per prevenirne la diffusione. F-Secure Software Updater aiuta le aziende a identificare e porre patch a sistemi di terze parti.
Posso recuperare i file crittografati?
La chiave di decrittografia non è disponibile, i file dovrebbero essere recuperati da backup laddove possibile.
Da dove è arrivato?
Si tratta di crimeware, molto simile ad altri ransomware, ma… sfrutta una vulnerabilità che è diventata nota grazie a strumenti sviluppati dalla NSA. Strumenti che sono stati trafugati e pubblicati da The Shadow Brokers (che si pensa essere Russo) in Aprile.
Si tratta di un attacco mirato?
No, non è un attacco mirato. Le campagne ransomware sono tipicamente indiscriminate.
Qualche buona notizia?
Sappiamo che si tratta di crimeware. Non c’è uno Stato nemico o un gruppo terroristico dietro a questo attacco. Le vittime possono pagare per riottenere accesso alle loro macchine, cosa che un attaccante più spregiudicato avrebbe potuto non offrire come opportunità.
Come F-Secure ti protegge contro WannaCrypt?
I prodotti per gli endpoint di F-Secure prevengono in modo proattivo tutti i tipi di ransomware WannaCry. F-Secure ha rilevato il ransomware sin dalla sua apparizione, il che garantisce che tutti i clienti che usano soluzioni di protezione degli endpint di F-Secure siano protetti.
I prodotti per gli endpoint di F-Secure offrono protezione contro WannaCrypt su 3 livelli per assicurare che l’attacco venga bloccato in molteplici punti nella catena.
- La funzione integrata di gestione delle patch, Software Updater, evita che WannaCrypt sfrutti la vunerabilità EternalBlue implementando automaticamente le relative patch di sicurezza.
- La funzionalità DeepGuard di F-Secure fornisce analisi comportamentale basata su host e rilevamento degli exploit che blocca WannaCrypt.
- Il Firewall di F-Secure impedisce a WannaCrypt di diffondersi nell’ambiente e di crittografare i file.
Sono un cliente F-Secure, cosa devo fare?
- Assicurati che DeepGuard e la protezione in tempo reale siano attivi su tutti i tuoi endpoint aziendali.
- Identifica gli endpoint senza la patch rilasciata da Microsoft (4013389) con Software Updater o altri strumenti disponibili.
- Applica la patch immediatamente con Software Updater o altri strumenti disponibili.
- Se non puoi applicare la patch immediatamente, F-Secure raccomanda di disabilitare SMBv1 con i passaggi indicati in questo articolo di Microsoft 2696547 per ridurre la superficie di attacco.
- Configura il firewall in modo appropriato.
- Usa i firewall di rete e host-based per bloccare il traffico TCP/445 da sistemi non fidati.
- Se possibile, blocca la porta TCP 445 in entrata verso tutti i sistemi Windows esposti a internet.
- In alternativa, puoi impostare le policy del Firewall F-Secure ai massimi livelli; le sue regole predefinite bloccano l’attacco.
Quali sono le “best practice” per proteggersi dal ransomware?
Ecco 5 consigli da F-Secure per tenere il ransomware lontano dai tuoi dispositivi:
- Accertati di stare utilizzando una soluzione di sicurezza robusta che copra tutti i tuoi dispositivi (PC, Mac, smartphone e tablet) e fornisca protezione. La protezione per gli endpoint di F-Secure protegge contro tutte le minacce ransomware conosciute che circolano in Internet, e può bloccare anche nuove minacce zero-day. Questo è molto importante data la continua comparsa di nuove varianti di ransomware.
- Fai backup regolari dei tuoi dati. Salva i backup offline, così che non vengano infettati. E fai prove di recupero dei dati ogni tanto per accertarti che funzionino realmente. Con buoni backup, puoi risolvere la situazione più facilmente senza dover sborsare denaro ai criminali.
- Mantieni i software su tutti i tuoi dispositivi aggiornati per prevenire exploit. Se sei incerto su come mantenere tutto aggiornato, dovresti pensare di utilizzare uno strumento che ti aiuti a identificare le vecchie versioni dei software e a suggerire gli aggiornamenti.
- Stai molto attento agli allegati alle email, specialmente ai file ZIP e ai documenti Office (Word, Excel e PowerPoint). Non aprire allegati email che ti sono stati inviati da mittenti che non conosci. Disabilita anche gli script macro da qualsiasi file Office che ricevi via email.
- Limita l’uso di plugin browser. Disabilita quelli che vengono comunemente sfruttati, come Flash Player e Silverlight, quando non li stai usando. Puoi farlo dal tuo browser web nelle impostazioni dei plugin.
Articolo tratto da “What you need to know about Wannacry now”, di Sandra Proske, Head of Global Communications & Brand di F-Secure
Categorie