La nuova ondata di ransomware iniziata questo weekend non deve essere sottovalutata: la nuova versione di Crypto che è stata chiamata “WannaCry 2.0” a differenza della maggior parte dei suoi predecessori si diffonde non tramite email e allegati ma sfruttando le vulnerabilità dei sistemi Windows soprattutto quelli fuori supporto come Windows 8, Windows Vista ecc. Inoltre sempre differendo dalle versioni precedenti, WannaCry 2.0 non necessita di un’azione dell’utente per cominciare a criptare: una volta a bordo della macchina esegue una scansione della rete e si diffonde. Ad oggi le vittime sono state parecchie, aziende di diversi settori e dimensioni e anche se a far più clamore sono stati enti pubblici e istituti d’istruzione come il sistema sanitario britannico e due note università italianeanche nel privato ci sono stati diversi casi. Come ogni crypto la sua azione è proprio quella di cifrare tutti i file incontrati così che non è più possibile aprire, visualizzare, modificare alcun documento, paralizzando i sistemi fino all’avvenuto ripristino che però può richiedere anche diverse ore se non giorni. Purtroppo sono stati segnalati anche centinaia di pagamenti in Bitcoin per la chiave di decriptazione, tuttavia vi suggeriamo caldamente di non farlo perché è il primo metodo per essere registrati come ottimi bersagli in quanto disposti a pagare il prezzo da loro imposto per il riscatto.
Le azioni da compiere per evitare o mitigare questo genere di attacchi sono:
- Patchare tutti i sistemi, server e client, alle ultime release
- Fare una valutazione del rischio IT e innalzare le difese di sicurezza
- Assicurarsi di avere i backup aggiornati e in posti sicuri con segmentazione della rete o se possibili da essa separati
C’è inoltre da aspettarsi un’ ondata di versioni diverse dello stesso malware e per questo ricordiamo l’importanza di avere sistemi di security che non si basino solo sul riconoscimento delle firme dei malware/virus ma che esplodano le minacce in ambienti virtuali con sistemi operativi diversi, come FireEye.
Come abbiamo approfondito qui, FireEye si occupa dal 2004 di intercettare le minacce non come i tradizionali sistemi di sicurezza col riconoscimento delle firme, ma facendo attivare la minaccia in ambienti virtuali così da bloccare gli zero days e i malware ancora sconosciuti.
E’ inoltre fondamentale per potersi assicurare un maggior livello di sicurezza intraprendere un percorso di analisi (Assessment) così da trovare le vulnerabilità e concentrare le risorse economiche e di effort nei punti di maggior necessità.
Giorgio Giussani – 16/05/2017