Il lunedì dopo l’attacco ransomware Wcry (o Wannacry: non c’è uniformità nel definire il malware) si registrano le prese di posizione di numerosi operatori di sicurezza, che riportiamo di seguito aggiornandole continuamente.
Microsoft: guida all’aggiornamento
Cominciamo con la società che è stata coinvolta maggiormente. Microsoft fa sapere che i device dotati dell’antivirus gratuito di Microsoft e dell’aggiornamento di Windows rilasciato tempestivamente dall’azienda sono protetti. Considerato il potenziale impatto sul business, Microsoft aveva rilasciato aggiornamenti anche per sistemi non più supportati come Windows XP, Windows 8, e Windows Server 2003.
Il blog Microsoft Security Response Center (MSRC) contiene le linee guida rispetto allo specifico attacco e riporta i link per scaricare le patch di sicurezza MS17-010 per le versioni di Windows attualmente non supportate, rese disponibili in via eccezionale vista la gravità globale della situazione di rischio: Customer Guidance for WannaCrypt attacks
Il blog Microsoft Malware Protection Center (MMPC) ha la la descrizione tecnica della minaccia: WannaCrypt ransomware worm targets out-of-date systems con la scheda della minaccia Ransom: Win32/WannaCrypt. Il Bollettino di sicurezza MS17-010 dello scorso marzo documentava ì, tra le altre, la vulnerabilità del protocollo SMB utilizzata dall’attacco detta “EternalBlue” CVE-2017-0145.
Juniper Networks: contro Wcry serve intelligenza
Considerando che la portata e la sofisticazione delle minacce informatiche è in costante evoluzione, per Juniper Networks gli strumenti di sicurezza di prossima generazione dovranno essere costruiti su sistemi di raccolta di informazioni intelligenti rapidamente condivisibili in modo da ridurre rischi, proteggere la rete e i suoi utenti. Juniper è impegnata alla creazione di un portfolio di soluzioni per la sicurezza che garantisce una protezione completa dagli attacchi in ogni ambiente, dai datacenter ai campus sino al singolo dispositivo stesso.
Barracuda Netwoks: più firewall negli ospedali
Secondo Wieland Alge, VP e GM Emea di Barracuda Networks, ospedali e aziende sanitare sono diventati obiettivi molto interessanti per i cybercriminali, in special modo quando si tratta di chiedere un riscatto: «A differenza di altre realtà, le istituzioni sanitarie non hanno molta scelta quando si tratta di pagare; le vite non sono negoziabili. È probabile che il massiccio attacco ransomware di pochi giorni fa sarà seguito da attacchi mirati a dispositivi medici connessi, e a questi attacchi sarà ancora più difficile reagire. La sicurezza informatica è diventata di importanza vitale e non è un’esagerazione affermare che gli ospedali dovrebbero avere più firewall che pazienti».
F5 Networks: virus disaster moderno
Più di dodici anni fa, il pioniere dei malware Peter Tippett coniò l’espressione virus disaster, indicando il momento in cui oltre 25 macchine venirono infettate su una singola rete come il “punto di svolta” verso l’arresto completo di una rete. Il ransomware WCry, che blocca tutti i file su un computer infetto fino a quando il proprietario non paga un riscatto ha portato intere infrastrutture critiche nel mondo del virus disaster. In quanto a portata, sostiene Ray Pompon, Principal Threat Research Evangelist di F5 Networks, questo evento sarà ricordato come un “game-changer” per il mondo della sicurezza e della compliance.
Il malware utilizza MS17-010,4 a.k.a. “EternalBlue” (un exploit della NSA che è stato trafugato dal gruppo hacker Shadow Brokers) per farepunching sulla rete, colpendo i computer ove non sia stata applicata la patch a una falla di sicurezza già identificata da Microsoft nel mese di marzo e che riguarda la condivisione di file di protocollo SMB (Server Message Block), spesso aperta all’interno delle reti organizzative rendendo così più rapida la diffusione dell’attacco.
Come visto in passato con i ransomware Cerberus e Apache Struts, i criminali informatici non perdono tempo e, quando vengono scoperte delle vulnerabilità, semplicemente ripropongono la vecchia minaccia riconfezionata in una nuova veste e con un nuovo modo di entrare.
Il messaggio è evidente: bisogna sempre applicare le patch in modo rapido. Questo è il punto dove concentrarsi, dedicando il proprio tempo al livello secondario della difesa: bloccare il traffico sia in entrata da Internet sia quello che si muove lateralmente attraverso le reti, bloccare o applicare restrizioni per le porte TCP 22, 23, 3389, 139 e 145 nonché UDP 137 e 138 e assicurarsi che i backup siano vincolanti e completi, in modo da poter effettuare il ripristino nel caso si abbia già subito l’attacco.
Trend Micro: si deve fare patch management
Trend Micro aveva rilevato per la prima volta il ransomware Wcry il 14 aprile . La variante iniziale (RANSOM_WCRY.C) era stata distribuita attraverso attacchi phishing che portavano gli utenti a scaricare il malware da Dropbox. Ma questa variante iniziale non era di particolare rilevanza. Il 12 maggio una nuova variante di WannaCry (RANSOM_WCRY.I / RANSOM_WCRY.A) costruita sulla variante di aprile ha aggiunto l’exploit per CVE-2017-0144, conosciuto meglio come EternalBlue o MS17-10. Questo exploit ha permesso al ransomware di diffondersi come un parassita attraverso le reti non protette. Sempre il 12 Microsoft ha rilasciato una patch per le versioni non supportate di Windows (Windows XP, Windows 8, Windows Server 2003) e aiutare a risolvere la criticità.
Del resto un’azione decisa di patch management è la chiave per proteggersi da quelle vulnerabilità come MS17-010, caratteristica che apparentemente distingue WannaCry dalle altre varianti di ransomware. I cybercriminali sono a conoscenza che le grandi aziende hanno bisogno di molto tempo per porre rimedio alle vulnerabilità e hanno colto tutte le opportunità attraverso questo attacco. Trend Micro mette a disposizione uno strumento gratuito che può rilevare il ransomware WannaCry. Lo strumento utilizza il machine learning e altre tecniche simili a quelle di OfficeScan XG per potenziare la protezione fornita dagli strumenti di sicurezza avanzata endpoint. Oltre a una forte protezione endpoint, Trend Micro raccomanda anche una soluzione di sicurezza e-mail per aiutare a prevenire l’infezione iniziale (il 79% degli attacchi ransomware nel 2016 sono iniziati da un’azione di phishing) e una forte strategia di backup per riprendersi da un attacco ransomware di successo.
Commvault: è il backup che ti salva
Per Vincenzo Costantino, Emea South Technical Services Director di Commvault l’unica difesa realmente efficace contro il ransomware è il backup: «Come tutte le organizzazioni colpite lo scorso fine settimana hanno potuto verificare, gli hacker saranno sempre un passo avanti rispetto a ogni software di threat detection. Troppe le armi a loro disposizione, a cominciare dalla preparazione media dei dipendenti». Se i propri dati vengono presi in ostaggio, il modo migliore per riprenderne il controllo è tornare all’ultimo backup prima dell’infezione. «E il miglior piano di sicurezza contro il ransomware è una soluzione centralizzata, che impedisca agli attacchi di toccare i dati di cui è stato fatto il backup, con la garanzia che possano essere recuperati in caso di crisi».
Vasco: i sistemi vecchi sono attaccabili
Per John Gunn, Chief Marketing Officer di Vasco Data Security in un mondo nel quale la tecnologia per la sicurezza informatica compie passi da gigante di trimestre in trimestre, nessuno dovrebbe stupirsi se un sistema operativo vecchio di 14 anni risulta vulnerabile a un attacco. La responsabilità è di coloro che si affidano a metodi di sicurezza datati, inclusi sistemi operativi non aggiornati e metodi di autenticazione obsoleti: “viviamo in un’epoca in cui gli attacchi vengono portati con notevole ingegnosità e dobbiamo usare le ultime innovazioni per difenderci o soffrirne le conseguenze“.
Verizon: ransomware in aumento
Per Verizon Enterprise Solutions, l’attacco paneuropeo del ransomware Wcry ha seminato il terrore in tutto il mondo. Proprio per questa ragione e considerando la possibile eventualità che in breve venga messa in circolazione una nuova versione, corretta e quindi più potente, di questo malware, l’azienda sottolinea alcune conclusioni in materia di ransomware e infezioni informatiche provenienti dal suo report DBIR 2017.
Sono sempre più frequenti gli attacchi ransomware: ad oggi, sono la quinta tipologia di malware più diffusa: la criminalità organizzata ha intensificato il ricorso ai ransomware per estorcere denaro alle proprie vittime: il report di quest’anno evidenzia un aumento dei ransomware del 50% rispetto all’anno scorso. Nonostante questo, e nonostante i titoli scritti dai giornali in merito, sono ancora numerose le organizzazioni che si affidano a soluzioni di sicurezza datate, senza investire in sistemi di prevenzione migliori. In sostanza, sono più inclini a pagare per una richiesta di riscatto che per servizi di sicurezza che diminuirebbero l’eventualità di un attacco informatico.
I malware sono un business molto redditizio: Il 51% delle violazioni analizzate vede il ricorso al malware. I ransomware sono aumentati al punto da essere la quinta tipologia di malware più comune e, sfruttando la tecnologia per estorcere denaro alle proprie vittime, sono aumentati del 50% rispetto all’anno scorso, e ancora di più se si considera il 2014, quando erano solo al 22esimo posto di questa classifica.
Le aziende del settore produzione sono il bersaglio preferito dei malware, che sfruttano lo strumento della mail.
