WannaCry: cos’è e come proteggere la tua azienda

WannaCry non molla e torna all’attacco. È della scorsa settimana la notizia che circa 200 mila utenti in circa 150 Paesi sono vittime del virus informatico ed è di qualche giorno il nuovo attacco in Cina con centinaia di migliaia di computer messi KO in ospedali, università, uffici e agenzie del governo incluse.

WannaCry, chiamato anche WanaCrypt0r 2.0, si è diffuso su larga scala nel maggio 2017. Tra le vittime colpite dal malware ci sono numerose aziende e organizzazioni a livello mondiale come Portugal Telecom, Deutsche Bahn, FedEx, Renault, il Ministero dell’interno russo, l’Università degli Studi di Milano-Bicocca e altri. I numeri da capogiro di computer colpiti lo rende uno dei maggiori attacchi informatici di sempre. Il virus informatico rientra nella tipologia ransomware: cripta ogni tipo di file presente nel proprio computer e chiede un riscatto per decrittarli. L’origine di WannaCry è ignota, nonostante i ricercatori seguano una pista nordcoreana. Sembrerebbe che sfrutti l’exploit EternalBlue sviluppato dalla NSA, rubato dal gruppo di hacker The Shadow Brokers. Il malware si diffonde tramite finte e-mail e si autoinstalla nel PC criptando tutti i file con l’estensione .WCRY, bloccandone così l’accesso. A questo punto noncè più possibile riavviare il PC preso di mira e in un file chiamato “@Please_Read_Me@” è presentata la richiesta di riscatto in BitCoin: 300 dollari se pagati entro tre giorni, successivamente raddoppiano a 600. Dopo il termine di una settimana tutti i file vengono persi. Per le aziende il pericolo è enorme poiché il malware dopo aver attaccato un computer si diffonde su tutti gli altri presenti sulla stessa rete.

Come proteggere la tua azienda?
L’Europol ha iniziato fin da subito le indagini per risalire ai responsabili e monitorare la situazione così come il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche (CNAIPIC) che garantisce la sicurezza delle infrastrutture informatiche e assicurano al momento che la situazione sia sotto controllo senza gravi casi di contagio ad aziende e istituzioni nel nostro Paese. Per evitare un eventuale contagio, gli esperti del centro informatico consigliano, oltre a un backup, le seguenti azioni di sicurezza:

Lato client

  • Eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
  • Aggiornare software antivirus;
  • Disabilitare, dove possibile e opportuno, i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
  • Il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati  provenienti da e-mail sospette;
  • Il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Lato sicurezza perimetrale

  • Eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);
  • Dove possibile è ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).

Mappa in tempo reale degli attacchi

Simone Catania

Classe 88, nato e cresciuto ai piedi dell’Etna, il cognome non mente. Non scrivo l’apostrofo invece dell’accento. Addomestico la punteggiatura per professione.

X