Allerta Wanna Cry: conoscerlo per difendersi
Sempre tenendo in considerazione le informazioni utili e le raccomandazioni fatte nel precedente articolo e cioè quali pratiche applicare per rispondere preventivamente ad agli attacchi di Wanna Cry, conosciamolo da vicino.

Conoscere “i nemici” ci consente non solo di sapere quali interventi adottare ma anche quali azioni applicare quotidianamente. In azienda, per fare ciò è necessario conoscere bene la propria infrastruttura IT. Troppo spesso, nell’utilizzo degli strumenti informatici, ci esponiamo inconsapevolmente a rischi, proprio perché non riusciamo ad averne avvertenza.

Prima di parlare dettagliatamente di questo virus, vogliamo quindi ricordare quali sono le azioni da non fare per evitare di esporsi a rischi di questo genere.

La parola d’ordine, anche in questo caso sarà: AGGIORNARE!

Lo ripetiamo: è necessario adottare il prima possibile la versione aggiornata dei software in uso a partire dal sistema operativo (Windows 10!) senza tralasciare di aggiornare qualsiasi software in grado di maneggiare contenuti esterni (sì, vi tocca aggiornare tutto!).

A livello aziendale, tale processo si esplicherà nel rendere efficiente e snello il processo di aggiornamento stesso. In questo caso snellezza ed efficienza si traducono in servizi Cloud, di per sé sempre aggiornati all’ultima versione. Ciò consente di installare il prima possibile e in modo completo le patch di sicurezza.

La cosa da non fare è quindi quella di smanettare aggirando o disabilitando le impostazioni di aggiornamento automatico, che permettono al sistema di essere sempre protetto con le ultime patch di sicurezza non appena rilasciate.

In particolare le aziende, inoltre, non devono utilizzare il protocollo SMBv1 (Microsoft ha sconsigliato l’utilizzo di SMBv1, laddove possibile). Sui sistemi su cui non sia possibile intervenire con aggiornamenti, provvedere quindi a disabilitare il protocollo SMBv1.

Inoltre, in ambito aziendale è bene che tali comportamenti atti a preservare la sicurezza dell’intera organizzazione si diffondano ad ogni settore ed ogni livello. A tal proposito, ci vengono certamente in aiuto i servizi di Office 365, che mostrano un pannello di amministrazione capace di offrire il comando e la visualizzazione delle azioni fatte tramite l’intera piattaforma Office 365. Inoltre, con Office 365 piano E5 (o acquistandolo separatamente) è possibile avere un servizio a supporto della sicurezza aziendale. Si chiama Threat Intelligence ed è molto utile per l’analisi ed il monitoraggio degli attacchi, consentendo di strutturare una strategia di difesa persistente.

Wanna Cry ransomware: cos’è e cosa fa
La recente campagna ransomware ha avuto un impatto globale. Questa assume, però, caratteri differenti dalle precedenti per due ragioni. La sua pericolosità risiede, infatti, nell’aver combinato in un solo attacco due tipologie di malware:

1. Un codice di tipo ransomware encryption che agisce in modo classico nel cifrare i file del PC della vittima chiedendo poi il relativo riscatto;
2. Un codice di tipo worm che ha la capacità di propagarsi automaticamente all’interno di una rete tipicamente aziendale.

Ciò permette al primo codice di essere copiato e quindi di infettare tutti i PC che riesce a contattare se vulnerabili, anche rispetto alla vulnerabilità di rete utilizzata (ad esempio l’EternalBlue).

È questo un modo molto ingegnoso, che consente la propagazione dell’infezione da ransomware, che finora dipendeva solamente dall’adescamento degli utenti tramite email di phising con allegati o link pericolosi (vettori primari dell’infezione).

È quindi sufficiente che un solo collaboratore sia rimasto vittima dell’apertura di un allegato infetto, per scatenare l’”epidemia” nella propria azienda, con un impatto tanto più elevato quanto più sistemi sono accesi e vulnerabili, dunque non aggiornati rispetto alla patch MS17-010. Inoltre, tale infezione è naturalmente propagabile anche tramite strumenti utilizzati da collaboratori esterni: ecco perché è necessario dotarsi di sistema di sicurezza efficienti come quelli consigliati nel precedente articolo.

Quanto detto fa pensare ad attacco di tipo globale e non mirato alle sole singole aziende già colpite. Naturalmente, saranno le indagini che si sono attivate a tale scopo a chiarire ciò. Al momento però, tale campagna sembrerebbe soltanto orientata ad aumentare la propagazione dell’infezione da ransomware. Esso purtroppo ha potuto avere un impatto significativo nelle realtà aziendali dotate di sistemi obsoleti e/o con processi non efficienti (o addirittura assenti) di aggiornamento dei sistemi.

Come dichiarato da Feliciano Intini sul blog Microsoft NonSoloSecurity, attualmente, la nota positiva di questa vicenda è che la prima variante di WannaCry/WannaCrypt non è stata attrezzata con funzionalità in grado di carpire credenziali o loro derivati (hash) una volta infettato il sistema vittima. Ciò può essere segno della non volontà di approfittare dell’infezione ransomware per predisporre un attacco persistente. Questo discorso è valido, però, per la prima variante del virus e non esclude che ciò possa accadere da qui in avanti. Anzi, a questo punto purtroppo tale rischio è plausibilmente molto alto. L’efficace approccio phishing>ransomware+worm utilizzato da Wanna Cry può essere verosimilmente usato per realizzare la base per attacchi persistenti, molto più pericolosi da rilevare.

Contratto il ransomware, esso fa scattare i propri lucchetti e da quel momento in poi si è in fase di emergenza, impossibilitati ad utilizzare il pc e privi dei propri file, in certi casi anche importanti. A quel punto diventa inutile pensare ai mancati aggiornamenti, alla mancata attenzione e ai mancati backup.

Dopo aver predisposto gli interventi urgenti contro questa prima ondata di virus è perciò necessario approcciare alla sicurezza aziendale in maniera consapevole e sistematica. La consapevolezza di quel che si fa online, unitamente all’utilità di software antivirus e ad una necessaria informazione quotidiana, consentono di evitare la maggior parte dei rischi.