Intervistiamo Gianadrea Daverio, BU Manager Security di Dimension Data Italia, per approfondire modalità operative e criticità legate al recente attacco ransomware WannaCry.
A circa sei mesi dall’ultimo attacco informatico che ha ripercussioni di carattere globale – l’attacco di Distributed Denial of Service (DDoS) che nel mese di Ottobre del 2016 ha causato la disruption di Dyn, uno dei principali fornitori di servizi DNS a livello globale, oggi il mondo sempre più digitalizzato si trova a fare i conti con un nuovo, massiccio attacco su scala globale partito lo scorso 12 Maggio 2017 i cui effetti avranno certamente degli strascichi per giorni o settimane.
Anche in questo caso, tra le vittime che hanno pubblicamente dichiarato di essere stati compromessi dall’attacco, vi sono nomi di primo piano a livello globale: Renault (Francia), Deutsche Bahn (Germania), Università di Milano-Bicocca (Italia), Telefonica (Spagna), Portugal Telecom (Portogallo), Dacia (Romania), Nissan (UK), FedEx (USA) solo per citare una minima parte delle 200.000 aziende che nel mondo sono state impattate dall’attacco.
Anatomia dell’attacco – Al cuore dell’attacco c’è WannaCry, o Wannacryptor, questo è il nome del malware utilizzato per infettare i sistemi colpiti e “catturarne” i dati. WannaCry sfrutta un “exploit” denominato “EternalBlue”, sviluppato dalla National Security Agency statunitense e sottratto da un gruppo di hacker denominato “The Shadow Brokers” e pubblicato in rete lo scorso 14 aprile 2017. L’exploit “EternalBlue” sfrutta una vulnerabilità del protocollo di comunicazione di rete – chiamato SMB – utilizzato dai sistemi operativi Microsoft Windows, da Windows XP a Windows 10 passando per le versioni Server da Windows Server 2003 al più recente Windows Server 2016. Tale vulnerabilità era stata precedentemente risolta lo scorso 14 Marzo 2017 (almeno per i sistemi operativi tuttora supportati da Microsoft, esclusi quindi Windows XP e Windows 2003 Server) con il bollettino di sicurezza MS17010. A seguito dell’attacco WannaCry, il 12 Maggio 2017, vista la criticità della situazione, Microsoft ha rilasciato una nuova patch di sicurezza anche per i sistemi operativi precedentemente non coperti, ovvero Windows XP e Windows 2003 Server.
Per diffondere il malware e infettare il più ampio numero di sistemi mai registrato fino ad oggi, l’attaccante si è affidato alla più massiccia campagna di “spear phishing” globale – ragionevolmente costituita da milioni di indirizzi email – nell’ambito della quale la vittima è stata invitata in modo fraudolento a scaricare da Internet un allegato malevolo che, una volta eseguito ed installato, ha provveduto a “prendere in ostaggio” i dati del sistema infettato per chiederne un riscatto in “bitcoin”, la nota moneta virtuale utilizzata, tra le altre cose, per le transazioni illegali che si svolgono nel “deep web”, la parte sconosciuta e “underground” dell’Internet che utilizziamo tutti i giorni. Non solo: WannaCry non solo è in grado di “prendere in ostaggio” i dati memorizzati all’interno di un sistema, ma attraverso i cosiddetti “movimenti laterali” è in grado di propagarsi sulla rete per infettare altri sistemi, sfruttando i tradizionali protocolli di comunicazione utilizzati dai sistemi Microsoft Windows per trasmettere e ricevere dati sulla rete locale.
Chi c’è dietro – Non è chiara, al momento, la matrice dell’attacco. Vista la ragguardevole somma rappresentata da qualche centinaio o migliaio di “bitcoin” per ognuna delle 200.000 vittime dell’attacco, potrebbe trattarsi di “normali” cyber-criminali motivati dall’interesse economico. D’altro canto, l’elevato impatto globale sulle infrastrutture critiche – telecomunicazioni, industria, agenzie governative e servizi – non può far escludere che alle spalle di questo attacco vi sia la volontà di destabilizzare gli equilibri globali.
Come reagire – Indipendentemente da quali che siano le motivazioni che hanno guidato gli attaccanti, le aziende e le organizzazioni impattate dall’attacco si trovano ora nella necessità di correre tempestivamente ai ripari: rilevare i sistemi infettati, individuare i dati impattati, contenere i sistemi impattati per prevenire eventuali “movimenti laterali” del malware volti ad infettare altri sistemi sulla rete locale, ripristinare i dati compromessi, procedere alla disinfezione dei sistemi infetti. Nella fase di risposta e contenimento dell’attacco il tempo gioca un ruolo cruciale: una tempestiva rilevazione dell’attacco e attuazione di efficaci procedure di risposta limita il numero di sistemi infettati e la quantità di dati presa in ostaggio, riducendo l’impatto sull’operatività dei servizi oltreché i tempi – e conseguentemente i costi – legati al ripristino delle normali condizioni di operatività. Una risposta efficace e tempestiva richiede però che non sia improvvisata: le aziende e le organizzazioni che sono state in grado di minimizzare l’impatto dell’attacco sono quelle che, per sensibilità del proprio management e dei propri azionisti rispetto ai temi correlati alla cyber security, hanno investito in ambiti quali la definizione di un piano di Incident Response e l’attivazione di un CERT – Computer Emergency Response Team. In condizioni di attacco, infatti, per evitare interventi disorganizzati e guidati dal panico o dalla limitata competenza ed esperienza specifica, risulta fondamentale disporre delle più adeguate competenze di analisi di sicurezza informatica abbinate a procedure operative chiare e ben documentate che possano supportare una rapida reazione ed un efficace contenimento dell’attacco.
Era possibile prevenirlo? – La tecnologia e le “best practices” nell’ambito della cyber security, in realtà, mettono già da tempo a disposizione di aziende ed organizzazioni strumenti e procedure operative che avrebbero consentito di prevenire o minimizzare l’impatto di un attacco come WannaCry: ma partiamo dal principio: l’attacco sfrutta una vulnerabilità dei sistemi operativi Microsoft Windows per la quale il bollettino di sicurezza – con severità di livello critico – e la relativa “patch” di sicurezza erano stati rilasciati da Microsoft da circa 2 mesi. il fatto che un numero così elevato di sistemi ne sia stato vittima indica che ancora molta è la strada da compiere per adeguare le procedure di vulnerability management e patch management da parte delle aziende. Non solo. Nonostante risalga a molti anni fa l’ammissione, da parte di alcuni dei principali produttori di sistemi di protezione antivirus, circa la limitata o nulla efficacia dell’approccio utilizzato dai sistemi di protezione tradizionali – basati su “signature” – rispetto alle forme avanzate di malware – come Advanced Persistent Threats (APT) e Ransomware – a tutt’oggi la gran parte dei sistemi continua ad affidare la propria protezione a tali componenti, nonostante il mercato metta a disposizione soluzioni più avanzate per la protezione degli endpoint – non solo PC ma anche Mac, Tablet e Smartphones – dalle sempre più diffuse minacce avanzate rappresentate appunto da Advanced Persistent Threats (APT) e Ransomware.
La lezione da imparare – Sono molti e rilevanti gli insegnamenti che possiamo trarre dalla cronistoria dell’attacco WannaCry, sia per quanto concerne il contesto che ci circonda sia per quanto concerne l’efficacia delle misure di prevenzione e contrasto attualmente in essere. La prima considerazione che dobbiamo trarre riguarda il processo evolutivo delle minacce informatiche: qualora non fosse stato chiaro a seguito dell’attacco dello scorso anno a Dyn, gli attacchi informatici sono diventati globali e sfruttano le tecnologie più avanzate – in questo caso di proprietà della statunitense NSA – per sferrare attacchi in grado di compromettere contemporaneamente le infrastrutture critiche in tutto il mondo. Singolarmente, non possiamo ovviamente intervenire su questo processo evolutivo, ma possiamo certamente lavorare per conoscerlo e per predisporre le migliori contromisure durante tutte le fasi dell’attacco: prima, attraverso efficaci misure di prevenzione, durante, attraverso la capacità di rilevare le anomalie comportamentali dei propri sistemi, dopo, predisponendo tutte le procedure e le competenze necessarie ad affrontare la situazione di emergenza nel momento in cui questa si dovesse verificare.
L’anello debole della catena – Abbiamo sin qui fatto cenno agli aspetti tecnologici che hanno consentito a WannaCry di avere un impatto di livello globale e delle soluzioni che la tecnologia e le “best practices” di settore mettono a disposizione per prevenire simili attacchi e per reagirvi in modo tempestivo. Non va però dimenticato che l’anello debole della catena, chi ha “acceso la miccia” è in realtà l’essere umano. Come abbiamo detto, infatti, l’attacco è stato in realtà “innescato” da tutti quegli utenti che hanno “fatto clic” senza valutarne i rischi: ogni qualvolta accettiamo di scaricare ed eseguire sul nostro sistema un file con una provenienza incerta esponiamo il nostro sistema, i nostri dati e l’operatività di tutta l’azienda ad un rischio i cui effetti possono essere, come in questo caso, devastanti. La formazione e la sensibilizzazione degli utenti in materia di cyber security e delle precauzioni da adottare nell’utilizzo quotidiano di PC, Tablet e Smartphones e dei dati a cui attraverso tali dispositivi abbiamo accesso, assume in questo scenario una valenza analoga – se non superiore – a quella rappresentata dall’adozione di misure efficaci di prevenzione e contenimento degli attacchi. Troppo spesso, ancora oggi, vediamo le aziende sottovalutare nella gran parte dei casi la valenza di un simile percorso formativo non affrontandolo oppure facendolo in modo disorganico e conseguentemente poco efficace.
E nella vostra azienda cosa avviene? Vogliamo discuterne più a fondo ed entrare maggiormente nel merito delle ricette che Dimension Data è in grado di offrire ai propri clienti per aiutarli a sostenere la sfida delle cyber minacce? Contattami all’indirizzo gianandrea.daverio@dimensiondata.com e considerami a disposizione per un incontro di approfondimento sul tema.
