Intervistiamo Stefano Volpi, Practice Leader per l’Italia e GSSO di Cisco, per avere una visione dettagliata delle capacità del pericoloso ransomware WannaCry.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti? Venerdì 12 maggio è stato sferrato un pesante attacco ransomware contro molte aziende di tutto il mondo, incluse alcune aziende italiane. Si presume che l’attacco si sia diffuso in ben 150 paesi a livello globale. Il malware responsabile dell’attacco è una variante del ransomware nota come “WannaCry”. Immediatamente, già nel corso del weekend, il nostro team di esperti di intelligence sulle minacce, Cisco Talos, ha svolto un lavoro senza precedenti per informare in modo tempestivo gli utenti sull’attacco. Di seguito un breve riepilogo: Il malware responsabile dell’attacco è una variante del ransomware nota come “WannaCry”. WannaCry si installa sfruttando una vulnerabilità del protocollo Microsoft SMB senza ricorrere a phishing o malvertising, che sono in normali vettori di distribuzione del ransomware. SMB è un protocollo di rete utilizzato per condividere file tra computer. Questa rapidissima diffusione del ransomware è in parte dovuta al fatto che ha la capacità di propagarsi lateralmente sulla stessa rete, installandosi automaticamente in altri sistemi della rete senza richiedere alcun intervento dell’utente finale. Questo malware è efficace soprattutto negli ambienti che includono sistemi Windows XP, perché è in grado di eseguire una scansione approfondita sulla porta TCP 445 (SMB, Server Message Block), compromettendo gli host, crittografando i file memorizzati al loro interno e quindi esigendo il pagamento di un riscatto sotto forma di Bitcoin. Il 14 marzo Microsoft aveva rilasciato un aggiornamento di sicurezza per eliminare questa vulnerabilità. Anche se tale aggiornamento ha consentito di proteggere i computer Windows più recenti con Windows Update abilitato, a livello globale molti computer sono rimasti privi di patch. Questo vale soprattutto per i computer Windows XP, che non sono più supportati da Microsoft, oltre che per i milioni di computer con software pirata sparsi in tutto il mondo, che ovviamente non ricevono gli aggiornamenti automatici.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente? WannaCry si installa sfruttando una vulnerabilità del protocollo Microsoft SMB, senza ricorrere a phishing o malvertising. SMB è un protocollo di rete utilizzato per condividere file tra computer. WannaCry è particolarmente efficace perché ha la capacità di propagarsi lateralmente sulla stessa rete, installandosi automaticamente in altri sistemi della rete senza richiedere alcun intervento dell’utente finale. Inoltre, è molto efficace negli ambienti che includono sistemi Windows XP, perché è in grado di eseguire una scansione approfondita sulla porta TCP 445 (SMB, Server Message Block), compromettendo gli host, crittografando i file memorizzati al loro interno e quindi esigendo il pagamento di un riscatto sotto forma di Bitcoin.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati? Il nostro team di intelligence sulle minacce ha analizzato attivamente il problema e gli ultimi risultati sono disponibili sul blog del nostro centro di intelligence delle minacce, talosintelligence.com. Il contenuto del blog viene aggiornato continuamente a mano a mano che emergono nuove informazioni, quindi tieni il collegamento a portata di mano. Il malware è progettato come servizio modulare. Abbiamo l’impressione che i file eseguibili associati al ransomware siano stati scritti da una persona diversa da quella che ha sviluppato il modulo di servizio. Questo potrebbe significare che la struttura del malware può essere utilizzata per eseguire diversi tipi di payload nocivi. Le aziende devono ricordare che i criminali non sono tenuti a fornire le chiavi di decrittografia dopo il pagamento del riscatto. Talos invita caldamente le aziende compromesse a non pagare il riscatto, se possibile, perché in questo modo finanzierebbero lo sviluppo di altre campagne nocive di questo tipo. Ecco alcuni consigli per le aziende che desiderano mitigare il rischio di compromissione:
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry? Come evidenziato dai nostri ricercatori, le indicazioni sono di assicurarsi che tutti i sistemi basati su Windows siano dotati di tutte le patch disponibili. In particolare, applicare la patch seguente: Microsoft Security Bulletin MS17-010 Inoltre, come previsto dalle best practice note, tutte le aziende con una rete SMB pubblicamente accessibile da Internet (porte 139 e 445) devono bloccare immediatamente il traffico in entrata.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende? I clienti Cisco e tutti coloro che desiderano porre domante su qualsiasi aspetto della propria sicurezza informatica, possono contattare il nostro team, che sarà lieto di aiutarli. Se la tua azienda è stata attaccata da questo ransomware, ti consigliamo di richiedere assistenza al team Cisco Security Services Incident Response (+1-844-831-7715). Per saperne di più su come tenere testa al ransomware, abbiamo reso disponibile un documento sul nostro portale.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire? A fronte di un’area di attacco più estesa e maggiori opportunità di profitto, il crimine informatico sta inesorabilmente prendendo di mira un crescente numero di aziende e organizzazioni che per tutta risposta, stanno adottando fino a 70 diversi prodotti di sicurezza per indirizzare diverse esigenze, creando un ambiente difficile da gestire e che spesso le rende ancora più vulnerabili. Se all’apparenza le capacità di protezione sembrano migliorare, in realtà questo approccio tradizionale, che punta su singoli prodotti per aspetti specifici della sicurezza, porta a una maggiore complessità, sempre più difficile da gestire. La cyber security, infatti, non è solo un insieme di tecnologia: è essenziale avere una strategia efficace basata su quattro attributi chiave: semplificazione, visibilità, approccio automatizzato e processo continuativo. 1. Semplificazione significa ridurre la complessità, che è amica di chi attacca, e adottare una piattaforma integrata. 2. Visibilità significa poter comprendere cosa sta succedendo durante un attacco, risolvere i problemi che si sono creati e utilizzare le informazioni apprese per incrementare le difese in modo che non accada di nuovo. 3. Gestire la sicurezza con un approccio automatizzato, partendo dal server, al cloud fino ai singoli ed eterogenei endpoint, aiuta a semplificare la sicurezza, ridurre i costi di implementazione e di amministrazione e ad aumentare la produttività. 4. Se è vero che il 100% delle aziende ha subito un attacco e che il 50% non sa di essere stata attaccata, è indispensabile un’efficace e continua rilevazione e monitoraggio di ciò che accade, con una visione della sicurezza continuativa, prima durante e dopo un attacco. È però necessario avere un fondamento tecnologico forte e usare la rete come componente chiave su cui si possa basare tutta la cyber security. Negli ultimi tre anni, Cisco ha investito miliardi di dollari in acquisizioni strategiche nell’ambito della sicurezza informatica e in innovazione interna per essere sempre un passo avanti e pronta a far fronte alla maggior parte di attacchi. Inoltre Cisco, avendo installato e gestendo l’80% delle reti a livello globale, ha una visibilità della rete senza precedenti, e una strategia che fa della rete l’elemento fondamentale di enforcement della sicurezza.
