Attacco Wannacry e negligenze

WannaCry nuovo e devastante attacco ransomware che colpisce i sistemi Windows non aggiornati. Gravi danni a causa della leggerezza di molti sistemisti aziendali, ma non è solo colpa loro…
Già da tempo Microsoft era a conoscenza di una grave falla di sicurezza sui propri sistemi operativi Windows. Questa vulnerabilità era nota grazie anche al fatto che veniva sfruttata dall’agenzia di sicurezza americana NSA per intrufolarsi nei sistemi Windows. Microsoft già da Marzo di quest’anno aveva rilasciato una patch risolutiva, ma evidentemente su molti sistemi Windows non era stato effettuato l’aggiornamento.

Il nuovo ransomware ha effettuato una attacco globale

A causa della poco professionalità dei responsabili di molte reti aziendali, il virus Wanna Decrypter, denominato subito anche WannaCry (voglio piangere) ha colpito duramente in tutto il mondo trovando terreno fertile soprattutto in Europa.

Il ransomware è particolarmente virulento, con una capacità di espansione e auto-replica davvero notevole. Sfruttando la vulnerabilità di Windows (dove la identifica) va a colpo sicuro rendendo inutili gli antivirus e bloccando parzialmente l’utilizzo del computer sul quale si è infiltrato. In pratica rende impossibile l’utilizzo e l’accesso ai dati salvati pur mantenendo il sistema attivo. Come già sappiamo, a questo punto scatta la richiesta di riscatto: il pagamento è di 300 dollari a macchina, nel frattempo si è anche alzato il prezzo raggiungendo i 600 dollari, sempre tramite la famosa moneta elettronica Bitcoin.

La virulenza da record di WannaCry

La cosa assolutamente da sottolineare è che questo virus, una volta infettato il sistema, riesce ad installare una serie di programmi modificando il registro di Windows, così da essere sempre attivo ad ogni riavvio della macchina. Occorre fare molta attenzione perché riesce anche a “penetrare”  periferiche di archivio dati collegate come hard disk esterni e chiavette USB. Quindi anche i backup presenti in rete sono in pericolo, inoltre modifica anche i volumi immagine del sistema operativo bloccando l’accesso ad ogni possibilità di riparare il sistema con le consuete utility di Windows.

In poco tempo assume interamente il controllo di una rete aziendale e si propaga ad altre reti collegate fra loro replicandosi all’infinito. Come detto mantiene utilizzabile il sistema operativo, ma impedisce all’utente qualsiasi uso se non quello di leggere il messaggio di riscatto e le modalità per pagarlo.

Ecco il messaggio che appare a tutto schermo

Proprio pochi giorni avevamo pubblicato un piccolo vademecum per i responsabili aziendali su come prevenire un attacco ransomware in azienda. Eravamo stati facili profeti.

Falla in Windows conosciuta da tutti, anche dai criminali informatici

La cosa davvero sconcertante di questo attacco informatico è che il bug presente nell’SMB Server del sistema operativo Windows, era già stata chiusa da Microsoft e aggiornata con il un security update rilasciato nel mese di Marzo. Purtroppo questo nuovo ransomware ha sfruttato la disattenzione o l’incapacità dei tecnici aziendali di applicare queste patch di sicurezza ai propri server Windows. Normalmente, lo sappiamo per esperienza personale, la sicurezza informatica dati è l’ultimo pensiero da parte della dirigenza e spesso il budget per la sicurezza è molto piccolo, una pazzia. Inoltre i dirigenti stessi tendono a minimizzare eventuali problematiche lasciando praticamente soli i responsabili tecnici informatici.

WannaCry sfrutta due exploit modificati nominati EternalBlue e DoublePulsar, in pratica delle utility in possesso dell’NSA americano, ma ora nelle mani degli hacker (cracker). Al momento non si hanno notizie di server o Pc Windows infettati da questo attacco che abbiano aggiornato i sistemi con le ultime patch di sicurezza Microsoft.

Un altro grosso problema è che molti dei sistemi infettati sono basati sul sistema operativo Windows XP, mai dismesso e molto utilizzato in ambienti pubblici, non più supportato con patch di sicurezza da Microsoft da oltre un anno (anche qui si torna al discorso dello scarso budget).

E’ anche vero però, con un trucco svelato da un nostro articolo, che è ancora possibile aggiornare Windows Xp con patch di sicurezza fino al 2019. Molti utenti ed amministratori di rete hanno risolto così, pur avendo un sistema operativo vetusto.

Propagazione del virus crittografico WannaCry

Il ransomware ha cominciato a diffondersi in Spagna e Gran Bretagna, bersagliando in particolare PC utilizzati in ambienti di lavoro e luoghi pubblici. In Gran Bretagna è letteralmente “esploso” negli ospedali, creando gravi problemi ai sistemi informatici. In questo caso la disattenzione la fa da padrone, in passato avevamo già parlato di ospedale sotto ricatto da parte di un virus.

Anche in Italia si è verificata l’infezione di questo virus, ma per ora, sembra essere un fenomeno decisamente limitato rispetto al resto d’Europa e del mondo.

Come evitare attacchi di virus con il riscatto ransomware

I consigli sono i soliti: tenere aggiornati i propri sistemi Windows con tutte le patch di sicurezza rilasciate da Microsoft. Nel caso abbiate necessità è possibile reperire la patch specifica contro WannaCry a questo indirizzo: patch di sicurezza Windows contro il virus ransomware WannaCry. Purtroppo inutile una volta che si è verificata l’infezione WannaCry.

Nonostante l’antivirus, in questo caso, non potesse fermare l’infezione è sempre bene averne uno, aggiornato, sul proprio sistema. Altri software che consigliamo contro il ransomware, che possono essere installati assieme all’antivirus, sono questi descritti nell’articolo: impedire esecuzione di virus ransomware riscatto.

Personalmente, per lavoro, il nostro staff tiene sotto controllo due reti aziendali con server e Pc Windows, una di queste reti è stata soggetta all’attacco (visionando i log), ma non abbiamo subito alcun danno poichè seguiamo pedissequissimamente le regole base della sicurezza aziendale. Non siamo dei fenomeni, siamo solo molto attenti.

Un altro articolo molto illuminante è questo: gli italiani si credono immuni agli hacker.

Lascia un commento e ti risponderò!

Il tuo indirizzo email non sarà pubblicato.