Attacco hacker WannaCry, polizia postale: ”Non esclusi nuovi problemi”. Ecco come difendersi.

Fonte: GAIA SCORZA BARCELLONA (Repubblica.it)

Resta alta l’allerta per le conseguenze del ransomware che ha colpito in 150 Paesi. ”In Italia nessun danno registrato”, ma le forze dell’ordine consigliano procedure informatiche precise per evitare la diffusione.

ROMA – WannaCry continua a fare paura. A 48 ore dall’attacco informatico che ha già infettato 200mila computer tra aziende e grandi corporation in 150 Paesi, la minaccia si allunga su lunedì mattina, quando migliaia di altre macchine verranno riavviate dopo il weekend dentro aziende e uffici pubblici. Anche in Italia, dove per il momento non sono state segnalate criticità, se non un paio di università raggiunte dal ransomware, tra cui la Bicocca di Milano, l’allerta resta alta.

Lo annuncia la Polizia postale che ha rilasciato sul proprio sito un vademecum, con l’intento non solo di mettere in guardia, ma di salvaguardare le risorse – prime fra tutte quelle pubbliche, come ospedali e trasporti – per tenere lontano il cryptoworm denominato WCry, WannaCry e WanaCrypt0r. Si tratta di istruzioni vere e proprie, destinate sia ai cittadini che alle aziende, perché vengano prese le misure necessarie per evitare che i dati dei pc in rete vengano bloccati, in cambio di una richiesta di riscatto.

#CyberSecurity #wannacry come agisce il virus e come neutralizzarlo i consigli della Polizia postale #cnaipic https://t.co/0E4V0jasQc

— Polizia di Stato (@poliziadistato) 14 maggio 2017

Un’offensiva senza precedenti, secondo l’Europol che stando alle parole del direttore Rob Wainwright, intervistato dalla britannica Itv, ha affermato che il mondo si trova ad affrontare una “crescente minaccia”. La Gran Bretagna e la Russia sono stati tra i Paesi più colpiti dall’attacco frenato ”per caso” da un informatico 22enne semplicemente registrando un dominio. Una mossa che ha arginato l’ondata verso Stati Uniti e America Latina.

Oggi però, in Italia come nel resto del mondo, ci si aspetta un secondo round che potrebbe allargare a macchia d’olio gli effetti del ransomware lanciato venerdì scorso. In vista di un possibile ”lunedì nero” per i sistemi informatici la polizia specifica le mosse da evitare, con indicazioni che entrano nello specifico dal pòunto di vista tecnico.

”Dai primi accertamenti effettuati, – si legge sulla pagina web delle forze dell’ordine – sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese”. Ecco perché è “è bene che gli utenti della Rete facciano attenzione alle seguenti procedure”, fanno sapere gli esperti:

1) Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).

2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di WannaCry 2.0, ovvero al riavvio delle macchine per la giornata di domani, inizio della settimana lavorativa.

Large-scale international investigation underway @Europol https://t.co/LUCAS0uzsk

— Rob Wainwright (@rwainwright67) 13 maggio 2017

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Lato client

– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;

– aggiornare software antivirus:
– disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);

– il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;

– il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Lato sicurezza perimetrale

– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);

– dove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).

(La lista degli indicatori è reperibile sul sito www.commissariatodips.it).