Intervistiamo Luca Sambucci, Operations Manager di ESET Italia, per approfondire le dinamiche di sviluppo del pericoloso ransomware WannaCry e tracciare un quadro d’insieme.
– Come ha agito il malware Wannacry e quali sono state le possibili cause scatenanti? Quali vulnerabilità ha sfruttato questo genere di attacco e quali piattaforme sono state colpite principalmente?
Il ransomware “WannaCry” (o WannaCryptor) era già noto. Quello che hanno fatto i cybercriminali è stato aumentare la capacità di diffusione e penetrazione con l’aiuto di due exploit per Windows. Il mese scorso il gruppo noto come “Shadow Brokers” ha reso pubblici alcuni tool fra i quali “EternalBlue”, un exploit per sistemi Windows da XP in poi, e “DoublePulsar”, una backdoor sempre per Windows. Questi tool sono stati presumibilmente sottratti al gruppo di hacker chiamato “Equation Group”, sospettato di essere collegato – se non proprio integrato – con la National Security Agency (NSA) statunitense. In poche parole, tool di attacco probabilmente creati e usati dall’NSA sono diventati di pubblico dominio.
Microsoft aveva rilasciato un aggiornamento critico per queste vulnerabilità di Windows già a marzo (esattamente un mese prima che i tool di Equation Group fossero resi noti al pubblico) ma come sempre accade non tutti gli utenti o amministratori di sistema applicano le patch immediatamente. Inoltre, alcuni sistemi legacy ma ancora utilizzati (come Windows XP o Windows Server 2003) non avevano potuto godere delle patch di sicurezza in un primo momento, anche se Microsoft le ha poi rilasciate a infezione in corso.
Il gruppo che in questi giorni sta diffondendo il nuovo malware WannaCry non ha fatto altro che integrare gli exploit di Equation Group all’interno del dropper che racchiude il ransomware, conferendogli quindi le caratteristiche di un worm in grado di diffondersi automaticamente ai tanti computer ancora vulnerabili trovati nella rete locale o su Internet.
Tutto lascia pensare che si tratti del lavoro di “semplici” cybercriminali, non di uno Stato né di un non-State actor con intenzioni diverse dal ritorno economico. L’infezione ha colpito praticamente ovunque, specialmente in Russia e in quei Paesi dove il patch management è meno organizzato e l’uso di sistemi legacy ancora frequente. Vi sono poi luoghi, come ad esempio cliniche e
ospedali, dove l’uso di sistemi “vetusti” dal punto di vista informatico come Windows XP (che Microsoft ha smesso di vendere nel 2008 e il cui supporto è terminato nel 2014) è talvolta necessario per garantire la compatibilità con macchinari dello stesso periodo, ma che dal punto di vista clinico sono ancora perfettamente utilizzabili.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Il passaggio fondamentale per le operazioni di ripristino e messa in sicurezza è quello di farsi affiancare da un’azienda specializzata. Potrebbe essere difficile ammetterlo, ma se la propria rete è stata infettata da un worm che ha sfruttato una vulnerabilità già nota da mesi, significa che qualcosa nella gestione della sicurezza non ha funzionato, di conseguenza sconsiglio di
applicare soluzioni “fai-da-te” e suggerisco di far intervenire quanto prima esperti del settore.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Una buona gestione degli aggiornamenti di sicurezza e una revisione delle policy per gli utenti (nonché verifiche ricorrenti per assicurarsi che siano applicate) sono elementi fondamentali per proteggersi da WannaCry e dal prossimo attacco che sfrutterà vulnerabilità già note. Anche l’uso di un sistema di sicurezza proattivo riesce minimizzare i danni. Per fare un esempio, il modulo per la protezione della rete di ESET (ESET network protection) bloccava i tentativi di sfruttare queste vulnerabilità ben prima che questo particolare malware iniziasse la sua diffusione.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Il primo pensiero quando si parla di ransomware va al binomio essenziale: security e backup. Un software di sicurezza che blocchi il malware prima che questo riesca ad accedere al sistema, oppure che ne ostacoli le attività dopo che è riuscito a entrare, è fondamentale. Così come è fondamentale essere pronti a ripristinare i dati da backup frequenti e protetti. Se parliamo di GDPR poi non è pensabile trascurare la crittografia. Benché i ransomware generalmente non puntino a sottrarre informazioni, altri pericoli meno percepibili come il furto di dati sono sempre attuali e necessitano della piena attenzione da parte di aziende e organizzazioni.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
Fin quando la formazione e la sicurezza saranno percepite solo come voci di spesa le aziende avranno difficoltà a dotarsi di personale adeguatamente addestrato. Purtroppo molti pensano ancora oggi che il software – che sia endpoint security o un software di sicurezza centralizzato – possa e debba sopperire alle manchevolezze degli utenti, che si ritengono quindi legittimati a cliccare ovunque (“tanto poi c’è l’antivirus”). Uno dei vettori di infezione del ransomware, in parte presente anche con il WannaCry, sono gli allegati in posta elettronica. Fin quando gli utenti apriranno documenti infetti o accederanno indiscriminatamente ai link che arrivano in un messaggio email, proteggere i loro dati e il loro lavoro – nonché quello dei loro ignari colleghi – sarà un percorso a ostacoli.