Gastone Nencini, Country Manager di Trend Micro Italia, ci illustra le modalità operative del malware WannaCry e propone una via per mitigare i danni alle aziende.
– Come ha agito il malware WannaCry e quali sono state le possibili cause scatenanti? Quali vulnerabilità ha sfruttato e quali piattaforme sono state colpite principalmente? Trend Micro ha rilevato per la prima volta il ransomware WannaCry/Wcry in data 14 aprile 2017. La variante iniziale (RANSOM_WCRY.C) è stata distribuita attraverso attacchi phishing che portavano gli utenti a scaricare il malware da Dropbox. Questa variante iniziale non era di particolare rilevanza. Venerdì 12 maggio 2017 una nuova variante di WannaCry (RANSOM_WCRY.I / RANSOM_WCRY.A) costruita sulla variante di aprile ha aggiunto l’exploit per CVE-2017-0144, conosciuto meglio come EternalBlue o MS17-10. Questo exploit ha permesso al ransomware di diffondersi come un parassita attraverso le reti non protette.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati? Un’azione decisa di patch management è la chiave per proteggersi da quelle vulnerabilità come MS17-010, caratteristica che apparentemente distingue WannaCry dalle altre varianti di ransomware. I cybercriminali sono a conoscenza che le grandi aziende hanno bisogno di molto tempo per porre rimedio alle vulnerabilità e hanno colto tutte le opportunità attraverso questo attacco. Trend Micro offre uno strumento gratuito che può rilevare il ransomware WannaCry. Questo strumento utilizza il machine learning e altre tecniche simili a quelle di OfficeScan XG per potenziare la protezione fornita dagli strumenti di sicurezza avanzata endpoint. Oltre a una forte protezione endpoint raccomandiamo anche una soluzione di sicurezza e-mailper aiutare a prevenire l’infezione iniziale (il 79% degli attacchi ransomware nel 2016 sono iniziati da un’azione di phishing) e una forte strategia di backup per riprendersi da un attacco ransomware di successo.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry? L’impatto di WannaCry può essere pervasivo e distruttivo, ma c’è un interruttore di emergenza nel ransomware che se utilizzato correttamente evita la sua diffusione. Come comportarsi? Le macchine in sleep mode non sono infette, ma hanno bisogno di una patch immediata.
In base alle nostre simulazioni e analisi su WannaCry, l’attacco non ha successo se le machine sono in sleep mode, anche se il Transmission Control Protocol (TCP) port 445 è aperto e senza patch. Parte dell’attacco di WannaCry si basa sul connettersi e infettare altre macchine. Se il ransomware prova a connettersi a una macchina in sleep mode riceve un “socket error” e non riesce ad accedere. Di conseguenza il malware si sposta verso l’IP successivo. Questo dà ai responsabili IT una finestra temporale per agire. Possono infatti mitigare e prevenire l’attacco patchando immediatamente la vulnerabilità.
Cosa succede quando si “sveglia” la macchina”? – WannaCry scansiona la LAN del sistema allo stadio iniziale dell’infezione e numera tutti gli IP. Nel caso la LAN della macchina infetta sia già stata numerata e una macchina vulnerabile nella rete sia in sleep mode, viene saltata dal ransomware. Per questo, quando un utente sveglia una macchina non infetta all’interno della rete infetta, questa non viene infettata. Questa è un’opportunità che concede al responsabile IT il tempo per apportare le patch necessarie e aggiornare il sistema. Riavviando la macchina infettata inizialmente invece, si fa ripartire la scansione LAN. Fortunatamente però, WannaCry ha un “interruttore di emergenza”. Parte della routine di infezione di WannaCry consiste nel mandare una richiesta che controlla l’ URL/domain. Se la richiesta torna indietro mostrando che l’URL e vivo oppure online, attiverà l’interruttore di emergenza suggerendo a WannaCry di uscire dal sistema e non propagarsi o crittografare. Così, anche se la macchina infetta si riavvia, questo interruttore bloccherà il ransomware. In ogni caso i responsabili IT devono provvedere a patchare e aggiornare il sistema.
E se WannaCry è già nel sistema? – Nel caso mssecvc.exe, uno dei componenti principali di WannaCry, sia già nel sistema, l’interruttore di emergenza impedirà che la componente crittografata di WannaCry venga lasciata cadere nella macchina vulnerabile. Il responsabile IT deve reagire e rimediare, in particolare aggiornando e patchando il sistema.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire? Molto spesso gli attacchi prendono piede da errori umani e molto spesso sono errori di superficialità nell’esaminare una comunicazione. Al giorno d’oggi i destinatari degli attacchi non sono solo le persone tecniche, ma chiunque in azienda può essere l’obiettivo e in qualunque reparto, dalle risorse umane al finance. Per questo tutto il personale andrebbe formato e avvisato circa i rischi informatici attuali. I cyber criminali infatti sfruttano sempre più tecniche di ingegneria sociale per far cadere le proprie vittime in fallo. Studiando le tracce online e social del malcapitato si può infatti costruire una comunicazione ad hoc che permetta al cyber criminale di aprire una breccia nel sistema dell’azienda. Ad esempio, se una persona ha postato sui propri social network dove è stato in vacanza, il cyber criminale potrebbe costruire una finta comunicazione dell’hotel o del ristorante, magari di follow up per chiedere la valutazione del servizio. In questi casi è molto difficile accorgersi subito dell’inganno e il rischio è di cliccare e dare il via a un attacco. Un facile trucco che va sempre adoperato è passare con il mouse sopra il mittente per vedere l’indirizzo completo e capire se è veramente affidabile, oltre a leggere bene e valutare se ci sono eventuali errori nella forma e anche nella lingua che smaschererebbero la malignità della comunicazione. L’educazione alla sicurezza dei propri dipendenti è quindi fondamentale oggi e contribuisce sicuramente a salvaguardare l’azienda.
