Marco Rottigni, Consulting SE di FireEye, ci offre la propria visione in merito agli attacchi WannaCry, evidenziando le modalità di attacco e diffusione del ransomware.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
La campagna ransomware WannaCry, abbastanza prolifica, ha colpito le organizzazioni a livello globale a partire dal 12 maggio. Dopo essersi stabilito nella rete della vittima, il ransomware WannaCry si è propagato sfruttando una vulnerabilità SMB. Data la rapida e prolifica distribuzione di questo ransomware, possiamo considerare questa attività un rischio significativo per tutte le organizzazioni che utilizzano macchine Windows potenzialmente vulnerabili.
Il ransomware WannaCry si è quasi certamente diffuso principalmente attraverso il vettore SMB, anche se gli attaccanti sono in grado di utilizzare anche altri metodi di distribuzione.
Questo meccanismo di propagazione sembra distribuire il malware sia all’interno della rete compromessa che su Internet.
Ad oggi, non è possibile eseguire un’attribuzione precisa ad un attaccante specifico; Il malware sfrutta un exploit denominato “EternalBlue” e in alcuni casi un secondo denominato “DoublePulsar” pubblicato il 14 aprile 2017, tramite la pubblicazione di dati attribuita a Shadow Brokers
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
WannaCry è composto da due “anime”: un componente ransomware e un componente worm. Una volta stabilitosi in un ambiente, sfrutta una vulnerabilità di Windows SMB per consentire la propagazione in tutta la rete infetta e tramite Internet.
Questa vulnerabilità SMB, che riguarda i sistemi operativi MS Windows, è stata chiusa lo scorso marzo con le patch specifiche di Microsoft MS017-47.
Le varianti WannaCry inizialmente distribuite includevano un killswitch che è stato sfruttato con successo per disattivare il malware. Tuttavia, gli operatori potrebbero eliminare o modificare questa funzionalità, come dimostrato dall’emergere di diverse nuove varianti che presentano modifiche.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Microsoft ha rilasciato dei dettagli per attenuare l’impatto di questa vulnerabilità, da una parte una patch disponibile da marzo e in aggiunta, per la prima volta da diversi anni, ha pubblicato una patch per i sistemi operativi non supportati, incluso XP.
È fondamentale per le organizzazioni adottare processi di gestione del rischio relativi a questa campagna: in particolare, dovrebbero valutare l’implementazione delle misure di sicurezza SMB che Microsoft raccomanda e sfruttare il rilevamento di indicatori di compromissione (IOC).
L’obiettivo è quello di amplificare il rilevamento e di organizzare una risposta rapida basata sull’isolamento di macchine compromesse per ridurre al minimo il rischio di diffusione dell’infezione.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Le organizzazioni che stanno cercando di proteggersi da questa minaccia possono sfruttare il blog di Microsoft per affrontare lo sfruttamento SMB associato.
I proxy di rete e altre funzionalità di protezione della rete aziendale possono impedire al malware di contattare il proprio dominio di comando e controllo, bloccando l’attivazione della crittografia.
Le organizzazioni possono voler regolare le loro configurazioni di proxy o altre configurazioni di rete per facilitare il contatto con i cosiddetti domini killswitch, che causano l’interruzione di qualsiasi azione infettiva. Le organizzazioni possono anche sfruttare indicatori di compromissione per identificare le attività potenziali relative alla campagna WannaCry. Alcuni IoC sono stati ottenuti durante l’analisi preliminare di campioni associati e grazie a continue indagini. Ulteriori dettagli sono disponibili nei nostri Blog.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Le aziende dovrebbero concentrarsi sul dare priorità gli allarmi che riguardano la quantità di informazioni provenienti da troppi strumenti, spesso poco integrati tra di loro. Un altro obiettivo cruciale dovrebbe essere quello di aumentare la visibilità, i dettagli e il contesto di eventi importanti di sicurezza sulla rete e sugli endpoint; Questo avviene tramite l’arricchimento di informazioni provenienti dai sensori e dagli agenti di sicurezza grazie a informazioni di Intelligence, combinate automaticamente con queste informazioni. Infine, ma non meno importante, aumentare le proprie capacità di risposta per isolare, contenere e sradicare l’aggressore riducendo al minimo l’intervallo di tempo, quindi i rischi di perdere i dati, indipendentemente dal fatto che siano crittografati o meno.
Questo attacco specifico mette in evidenza anche la necessità di un approccio Intelligence Led Security e in questo caso in particolare di un approccio Intelligence Led Patching; l’exploit era infatti conosciuto, ma sotto stimato da molti amministratori IT.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
Tutte queste campagne hanno un denominatore comune: sfruttano in maniera notevole il legame più debole della catena di sicurezza, cioè il fattore umano. Non importa quanto potente sia l’infrastruttura di sicurezza, le violazioni sono inevitabili.
Le migliori contromisure combinano una grande visibilità con dipendenti adeguatamente preparati, che comprendono i rischi legati al lavoro quotidiano con strumenti informatici generalmente vulnerabili.
La cyber-maturità di molte aziende è lentamente ma inesorabilmente in crescita negli ultimi anni, insieme a soluzioni sempre più focalizzate per aumentare il metodo di sicurezza più efficace: la resilienza informatica.