Intervistiamo Alexander Vukcevic, Director degli Avira Virus Lab, che ci illustra le caratteristiche peculiari e le modalità operative del ransomware WannaCry.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti? Wannacry è un crypto-ransomware che cripta i dati sui computer degli utenti per poi estorcere alle proprie vittime un importo in bitcoin per decriptare i loro dati sensibili. In passato eravamo abituati ad una causa scatenante – per esempio una mail di phishing alla quale era stato allegato del software malevolo. Questa volta sembra che le diffusione sia stata possibile solo attraverso la funzione worm integrata. Le cause scatenanti possono essere state diverse. Dal mio punto di vista, sono rilevanti gli interessi economici, perché le vittime devono pagare per avere nuovamente accesso ai loro dati. Inoltre un’altra causa potrebbe essere quella del voler evidenziare quanto siamo vulnerabili nel mondo digitale.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente? Wannacry utilizza una vecchia vulnerabilità nel protocollo SMB (=Server message block) di Microsoft, che è stata già chiusa da un aggiornamento di sicurezza. E’ anche conosciuto come ‘NetBIOS’, un protocollo di rete per la condivizione di file e stampanti. Una volta che il computer viene infettato da Wannacry, inizia a scansire la rete per identificare gli altri client NetBIOS, per poi diffondere ed eseguire il suo codice malevolo sui computer che identifica. Inoltre, Wannacry esegue una scansione all’esterno della stessa rete (Internet) per trovare possibili client vulnerabili che hanno il protocollo NetBIOS raggiungibile dall’esterno. Credo che sia stato questo modus operandi a causare l’impatto dell’attacco a livello globale. Nella situazione attuale non limiterei la minaccia solo alle piattaforme che sono state infettate, perché si può estendere a tutti i client che stanno utilizzando NetBIOS e non hanno installato l’ultima patch di Windows pensata per risolvere questa vulnerabilità.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati? La prima misura da attuare è identificare il client infetto e delimitare l’ulteriore diffusione di Wannacry, quantomeno disconnettendo il client dal network. A questo punto il sistema operativo della macchina infetta dovrà essere re-installato oppure ripristinato da un backup.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry? La cosa più importante da fare è installare l’ultima patch MS17-010 di Microsoft (https://support.microsoft.com/de-de/help/4013389/title) su tutti i computer ed avere un antivirus installato che sia aggiornato con le ultime definizioni. Inoltre, è necessario educare i dipendenti ad essere molto prudenti quando si tratta di email ricevute, specialmente quelle inviate da mittenti sconosciuti che contengono un allegato.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende? Prima di tutto, le aziende devono seguire il regolamento GDPR. In seconda battuta, potrebbe essere molto utile introdurre un responsabile della protezione dei dati che si occupi dell’educazione dei dipendenti rispetto alla tutela dei propri dati personali e di quelli dell’azienda, oltre che di definire una regolamentazione interna per i dipendenti e per la privacy dell’azienda.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire? La modalità di diffusione di Wannacry è stata davvero incredibile. Migliaia di computer sono stati infettati in poche ore, in tutto il mondo. Questo dimostra come gli amministratori delle infrastrutture IT siano poco attenti, dal momento che la patch MS17-010 di Microsoft che riparava la vulnerabilità era già stata rilasciata a marzo. In aggiunta, i dipendenti non sono istruiti a sufficienza per reagire correttamente quando si trovano a dover gestire le nuove infezioni. Staccare il cavo di rete del computer infetto è un modo davvero basilare di limitare rapidamente i danni che Wannacry può aver fatto ed evitarne un’ulteriore diffusione. Sapere quale sia il giusto modo di reagire in questo tipo di situazione dovrebbe essere un “must” per chiunque. Dovrebbe essere simile a un’esercitazione antincendio. Perché la tecnologia può limitare il rischio di un’infezione, ma non può mai escludere del tutto che le persone siano curiose di scoprire cose nuove e sconosciute (per esempio le email che arrivano da un mittente sconosciuto, di cui vorrebbero sapere di più.)
