Venerdì 12 maggio è stato sferrato un pesante attacco ransomware contro molte aziende di tutto il mondo, incluse alcune aziende italiane. Si presume che l’attacco si sia diffuso in ben 150 paesi a livello globale.
Il malware responsabile dell’attacco è una variante del ransomware nota come “WannaCry“.
WannaCry si installa sfruttando una vulnerabilità del protocollo Microsoft SMB, senza ricorrere a phishing o malvertising. SMB è un protocollo di rete utilizzato per condividere file tra computer.
Questo articolo apparso sul New York Times include un’immagine impressionante che mostra le decine di migliaia di computer infettati in tutto il mondo, molti dei quali contemporaneamente.
Ma cosa abbiano scoperto finora su questo attacco?
Durante il weekend il nostro team di Cisco Talos, esperti in threat intelligence, ha svolto un lavoro impressionante per informare gli utenti sull’attacco. Ecco un breve riepilogo su quanto comunicato:
- Il malware responsabile dell’attacco è una variante del ransomware noto come “WannaCry”. WannaCry si installa sfruttando una vulnerabilità del protocollo Microsoft SMB senza ricorrere a phishing o malvertising, che sono in normali vettori di distribuzione del ransomware.
- SMB è un protocollo di rete utilizzato per condividere file tra computer. Questa rapidissima diffusione del ransomware è in parte dovuta al fatto che ha la capacità di propagarsi lateralmente sulla stessa rete, installandosi automaticamente in altri sistemi della rete senza richiedere alcun intervento dell’utente finale.
- Questo malware è efficace soprattutto negli ambienti che includono sistemi Windows XP, perché è in grado di eseguire una scansione approfondita sulla porta TCP 445 (SMB, Server Message Block), compromettendo gli host, crittografando i file memorizzati al loro interno e quindi esigendo il pagamento di un riscatto sotto forma di Bitcoin.
Il 14 marzo Microsoft aveva rilasciato un aggiornamento di sicurezza per eliminare questa vulnerabilità. Anche se tale aggiornamento ha consentito di proteggere i computer Windows più recenti con Windows Update abilitato, a livello globale molti computer sono rimasti privi di patch.
Questo vale soprattutto per i computer Windows XP, che non sono più supportati da Microsoft, oltre che per i milioni di computer con software pirata sparsi in tutto il mondo, che ovviamente non ricevono gli aggiornamenti automatici.
Il nostro team di intelligence ha analizzato attivamente il problema e gli ultimi risultati sono disponibili qui. Questo blog viene aggiornato continuamente a mano a mano che emergono nuove informazioni, quindi tieni il collegamento a portata di mano.
Vorrei attirare la vostra attenzione su alcuni paragrafi veramente interessanti:
- Il malware è progettato come servizio modulare. Abbiamo l’impressione che i file eseguibili associati al ransomware siano stati scritti da una persona diversa da quella che ha sviluppato il modulo di servizio. Questo potrebbe significare che la struttura del malware può essere utilizzata per eseguire diversi tipi di payload nocivi.
- Le aziende devono ricordare che i criminali non sono tenuti a fornire le chiavi di decrittografia dopo il pagamento del riscatto. Talos invita caldamente le aziende compromesse a non pagare il riscatto, se possibile, perché in questo modo finanzierebbero lo sviluppo di altre campagne nocive di questo tipo.
Ecco alcuni consigli per le aziende che desiderano mitigare il rischio di compromissione:
- Assicurarsi che tutti i sistemi basati su Windows siano dotati di tutte le patch disponibili. In particolare, applicare la patch seguente: Microsoft Security Bulletin MS17-010
- Come previsto dalle best practice note, tutte le aziende con una rete SMB pubblicamente accessibile da Internet (porte 139 e 445) devono bloccare immediatamente il traffico in entrata.
I clienti Cisco e tutti coloro che desiderano porre domante su qualsiasi aspetto della propria sicurezza informatica, possono contattare il nostro team, che sarà lieto di aiutarli.
Se la tua azienda è stata attaccata da questo ransomware, ti consigliamo di richiedere assistenza al team Cisco Security Services Incident Response (+1-844-831-7715).
Se desideri saperne di più su come tenere testa al ransomware, visita la nostra pagina web.