La nostra intervista a Fabrizio Croce, Area Director South Europe di Watchguard Technologies, mette in evidenza gli aspetti principali riguardanti il malware WannaCry.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
L’opinione degli esperti è che da molto tempo si era a conoscenza della specifica vulnerabilità di Windows nei protocolli SMB e RPC: nel momento in cui Microsoft ha rilasciato la patch di sicurezza, l’efficacia del malware che la sfruttava andava progressivamente a diminuire, quindi questo attacco è stato lanciato prima che troppi sistemi fossero immunizzati. Chi può essere stato? Escluderei organismi di intelligence o cyberware. I primi perché lavorano nell’ombra e utilizzano queste falle di sicurezza per attacchi mirati e avanzati verso una infrastruttura critica nel modo più silente possibile, di certo non andrebbero a chiedere un riscatto di 300 $; scarterei anche la cyberware visto che a quanto pare la diffusione è omogenea, non esiste una nazione non colpita. Semplicemente, è quindi molto più probabile che si tratti delle classiche organizzazioni CyberCriminali che utilizzano questi malware per uno scopo molto semplice: fare soldi. Oltre 75.000 vittime sono state segnalate in 90 paesi in poche ore, dal Regno Unito, alla Russia agli Stati Uniti. Nessuno è immune. Se tutti pagheranno…. 75.000 x 300 usd = 22.500.000 M$.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
L’analisi iniziale del ransomware sembra mostrare la diffusione tramite MS17-010, una vulnerabilità critica SMB del sistema operativo Microsoft Windows, che è stato recentemente divulgato come parte del Shadow Brokers dump, uno strumento di hacking NSA. Si ritiene però che il ransomware sia consegnato banalmente tramite posta elettronica, non con un attacco mirato o sofisticato. Questa vulnerabilità da Marzo era stata rilevata e corretta con una patch di emergenza di Microsoft. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ma come in tutti questi casi, dal momento in cui la patch viene creata al momento in cui viene realmente installata, passa molto tempo ed è in questa finestra di vulnerabilità che WannaCry si è infilato. In aggiunta, anche se obsoleto e non più mantenuto, migliaia di PC continuano ad utilizzare Windows XP per il quale solo ora è stata emessa la patch di sicurezza in quanto sistema non più supportato. Basta che un vecchio PC con XP nella segreteria di un ospedale all’accettazione, magari che condivide in rete l’archivio delle prenotazioni, venga infettato e tutto quanto viene compromesso.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Per le macchine compromesse non vi è soluzione se non pagare o riprendere i backup.
Per quelle non compromesse, staccarle dalla rete, applicare la patch Microsoft ed aggiornare i sistemi antivirus alle ultime firme (anche se nuove varanti di WannaCry stanno uscendo).
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Come per tutti i ransomware, sono attacchi di tipo APT che includono tecniche di evasione e di mascheramento e che rendono molto difficile se non impossibile la loro identificazione da parte dei classici antivirus basati su database di firme.
Si deve evolvere la sicurezza, soprattutto perimetrale, ad utilizzare sistemi molto più sofisticati come motori antimalware basati su sandbox e agenti locali che agiscano sull’apprendimento degli effetti comportamentali di processi attivi per identificare se si tratta di una minaccia oppure no. Di certo un semplice antivirus è ormai del tutto inefficace. Solo l’utilizzo di sistemi di sicurezza stratificata come i Firewall UTM di nuovissima generazione con tecnologie sandbox consente di innalzare il livello di sicurezza a livelli molto più accettabili. Fino a poco tempo fa queste tecnologie erano ad appannaggio solo dell’enterprise, visti i costi, ma ora aziende come la nostra le mettono a disposizione a una frazione del costo, rendendole adatte anche a una semplice PMI che è di certo l’anello più debole e facilmente attaccabile dai ransomware.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
GDPR, come una qualsiasi normativa, diventa efficace sempre se viene applicata in modo corretto e puntuale. Consiste in una serie di raccomandazioni che insieme alla ISO 27001 possono rendere una organizzazione più “blindata” ma non è la soluzione definitiva agli attacchi informatici. È un ennesimo insieme di regole, pensato però per aziende già strutturate, direi dalle mid-enterprise in su, quando in Italia il 99,6% delle aziende ha meno di 50 dipendenti ed è a conduzione principalmente familiare.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
La formazione degli utenti in ambito sicurezza IT credo sia un falso mito. È come insegnare ad un ragazzino a non aprire la porta di casa agli sconosciuti, ma alla fine è facilmente superabile con un minimo di ingegneria sociale.
Si certo, può mitigare almeno gli attacchi meno sofisticati ma siamo arrivati ormai a tali livelli che la formazione non è la componente più importante. WannaCry ha colpito molte università in facoltà tecniche dove mi pare vi siano utenti più che competenti.
La soluzione secondo il mio parere continua ad essere nell’irrobustimento della protezione della rete adottando delle misure informatiche sofisticate almeno al pari, se non di più, degli attacchi che si subiscono. Ci sono oggi a disposizione soluzioni che, come già ho citato, proteggono sia il perimetro sia l’endpoint e che superano la debolezza intrinseca e irrisolvibile dei motori Antivirus; l’importante è che le aziende aggiornino i sistemi sostituendoli con tecnologie nuove e più attuali e dove non presenti le installino immediatamente. Ormai non vi sono più scuse, i costi di ripristino sono innumerevolmente maggiori che un investimento in IT Security di livello adeguato.