Stai leggendo: {{ currentArticle.title }}

Italia ed Estero

IN RETE

Attacco hacker globale: ecco come difendersi


Italia ed Estero
15 mag 2017, 07:49

Non è finita: un nuovo cyberattacco su larga scala, dopo quello senza precedenti sferrato venerdì, potrebbe essere imminente e venir scatenato già oggi, al riavvio dei computer dopo il fine settimana.

Mentre l'Europol conferma l'esistenza di questi rischi e rivela il bilancio provvisorio dell'offensiva telematica: il virus Wannacry ha infettato i sistemi di 100mila organizzazioni in 150 Paesi, in particolare quelli del Regno Unito. Il numero dei computer di privati colpiti potrebbe essere molto più alto. 

In Italia, in base alle verifiche effettuate dalla Polizia, non risultano gravi danni alle infrastrutture informatiche ma non si escludono, anche in questo caso, sorprese in questo inizio di settimana, al riavvio delle macchine.

«È bene che gli utenti della Rete facciano attenzione alle seguenti procedure rilevate dagli specialisti della Polizia postale» si legge sul sito della Polizia. Ecco come:

 

1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione). 

2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows. 

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0, ovvero al riavvio delle macchine per la giornata di oggi, inizio della settimana lavorativa.

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Lato client
- eseguirel’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017; 
- aggiornare software antivirus:
- disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
- il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l'avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Lato sicurezza perimetrale
- eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);
- dove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).

La lista degli indicatori è reperibile sul sito www.commissariatodips.it

Articoli in Italia ed Estero

Lista articoli