La nostra intervista a Paolo Arcagni, System Engineer Manager di F5 Networks, mette a fuoco le modalità operative del ransomware WannaCry.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
Il malware utilizza MS17-010,4 a.k.a. “EternalBlue” – un exploit del NSA che è stato trafugato dal gruppo hacker Shadow Brokers e pubblicato in rete il 14 aprile scorso. L’exploit è stato sviluppato per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows facendo punching sulla rete, per colpire i computer ove non sia stata applicata la patch a una falla di sicurezza. Tra i principali indiziati dell’attacco informatico, come dichiarato dalla sicurezza nazionale US, ci sono “criminali o appartenenti a stati nazionali stranieri” e il dito è puntato esplicitamente sulla Corea del Nord .
Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
Si tratta di una vulnerabilità già identificata da Microsoft nel mese di marzo e che riguarda la condivisione di file di protocollo SMB (Server Message Block), spesso aperta all’interno delle reti organizzative rendendo così più rapida la diffusione dell’attacco. Il codice utilizzato dalla parte worm della variante osservata in questi primi giorni prende di mira versioni del sistema operativo precedenti a Windows10, perché probabilmente sfrutta exploit già collaudati ed efficaci sulle versioni più datate di Windows, che è anche più probabile non siano state adeguatamente aggiornate.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Affrontare una minaccia come una cyber-estorsione (ransomware) può rappresentare un’esperienza traumatica per chiunque. Non c’è un proiettile d’argento che consenta di proteggersi dai ransomware e l’ansia e la preoccupazione per i dati personali è esattamente ciò su cui contano i cybercriminali.Al moneto le singole richieste di riscatto ricevute dagli enti sembrano basse, circa 300 dollari, ma si raggiungeranno rapidamente cifre significative considerando la quantità di sistemi che sono stati colpiti.
Il consiglio è però sempre quello di non pagare: pagare il riscatto non solo avvantaggia i criminali ma garantisce loro dei fondi per future azioni illegali e, inoltre, dopo l’attacco ed il relativo blocco dei dati non si ha mai la certezza del recupero dei file, neanche dopo l’eventuale pagamento! L’unica soluzione è tornare all’ultimo back up prima dell’infezione.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Il messaggio è evidente: bisogna sempre applicare le patch in modo rapido! In questo caso specifico si tratta di eseguire l’aggiornamento della protezione per sistemi Microsoft Windows, pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017, e aggiornare l’antivirus, anche se la maggior parte delle organizzazioni lo sa già!
Questo è il punto dove concentrarsi, dedicando il proprio tempo al livello secondario della difesa: bloccare il traffico sia in entrata da Internet sia quello che si muove lateralmente attraverso le reti, bloccare o applicare restrizioni per le porte TCP 22, 23, 3389, 139 e 145 nonché UDP 137 e 138 e assicurarsi che i backup siano vincolanti e completi, in modo da poter effettuare il ripristino nel caso si abbia già subito l’attacco.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Molte organizzazioni non sanno quale sia la reale estensione dei dati dei clienti in loro possesso, sia in termini di quantità che di posizione. La sfida più grande che le aziende devono affrontare, ora che l’entrata in vigore del GDPR è prossima, è capire quale sia la quantità di dati di cui sono responsabili. In futuro, trovarsi al centro di una fuga/sottrazione di dati potrebbe comportare danni ancora più gravi sia a livello monetario che in termini di fedeltà dei clienti.
Dal punto di vista delle best practice da consigliare ritengo che le aziende dovranno essere ancora più pronte a scalare e proteggere le loro operazioni e infrastrutture, soffermandosi, ad esempio, sulla sicurezza dei dati del cliente accessibili dai dispositivi mobile, fondamentale quando si verifica un furto e le informazioni devono essere cancellate in base ai comandi emessi da remoto. Allo stesso modo, le aziende che cercano di memorizzare i dati nel cloud dovranno focalizzarsi meglio su come mantenere la proprietà e il controllo dei dati centralizzato, occupandosi della gestione delle policy e cercando soluzioni di crittografia che garantiscano che solo l’azienda che detiene il controllo possa sbloccare i file richiesti.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
Gli atteggiamenti che mettono a rischio la sicurezza in azienda sono altrettanto importanti quanto la scelta di una tecnologia robusta. Aggiornare sempre il computer e non cliccare mai su link e allegati sconosciuti che arrivino per email, effettuare una copia dei dati importanti e tenerli a parte, in un supporto informatico esterno, sono pratiche semplici che dovrebbero accumunare le aziende e i singoli dipendenti anche nel privato.
Nello scenario complessivo, vediamo emergere sempre più delle eccellenze a livello aziendale, in termini di formazione dei dipendenti e adozioni di policy mirate e condivise, credo però che si debba lavorare ancora molto in questa direzione. Infatti, solo unendo un efficace ecosistema di soluzioni e servizi di sicurezza con una cultura della sicurezza rinnovata potremo contrastare con maggiore rapidità il crimine informatico.