Attacco mondiale "WannaCry" - ancora nessun sospiro di sollievo possibile
Dopo i primi danni riparati a causa di "Wanna Cry", il più esteso cyber-attacco su 150 paesi finora, un fatto sembra sempre più chiaro: il blocco del 12 maggio 2017 sui computer di DB, Renault, FedEx o Telefonica e altre istituzioni potrebbe solo significare l'inizio di una fase di ricatto più lunga. Come ci si può impadronire dei troiani in circolazione? Una lista di controllo.
Nell'attacco "WannaCry" dello scorso venerdì 12 maggio 2017, il ransomware mascherato ha sfruttato una vulnerabilità nel sistema operativo Windows di Microsoft che gli ha permesso di infettare automaticamente i nuovi computer. Questo "buco di sicurezza" nel sistema operativo era stato una volta salvato dall'agenzia di intelligence statunitense NSA per la sua sorveglianza, ma alcuni mesi fa hacker sconosciuti lo avevano reso pubblico, secondo un rapporto dell'agenzia di stampa tedesca DPA.
I computer di tutto il mondo sono stati colpiti dall'attacco. Sono stati attaccati dai cosiddetti Trojan di estorsione, che li criptano e chiedono un riscatto. Microsoft aveva chiuso il buco di sicurezza corrispondente a marzo - ma solo i computer su cui era stato installato l'aggiornamento erano protetti.
Svizzera risparmiata finora
200.000 vittime, 150 paesi, contro 50.000 euro di riscatto (le vittime da regolare tramite Bitcoin) - i numeri sembrano impressionanti. Impressionante perché la prima ondata di attacchi è stata fermata relativamente in fretta per caso. Ma purtroppo è ancora troppo presto per tirare un sospiro di sollievo, in primo luogo perché la vera portata si conoscerà solo gradualmente e in secondo luogo perché gli attacchi possono essere riavviati senza grandi sforzi. Leggi di più qui.
Secondo i risultati delle agenzie ufficiali come la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (MELANI), solo una piccola quantità di denaro per il riscatto è fluita finora, e in Svizzera neanche un rublo. Così per una volta la Svizzera è stata risparmiata. Tuttavia, il fatto che apparentemente nessuna delle parti colpite ha avuto i loro dati restituiti, anche se hanno pagato il riscatto, solleva domande sulle intenzioni dei programmatori di "WannaCry".
Apparentemente, i mittenti non hanno i mezzi per decifrare i dati criptati dal ransomware. Anche se alcune vittime hanno già trasferito i Bitcoin estorti. Leggi di più su questo nell'analisi dei ricercatori di sicurezza qui.
Gli esperti sospettano che ci saranno altri attacchi. Il numero di vettori di attacco alle strutture sensibili è troppo grande, quindi gli aggressori non si fermeranno semplicemente. Secondo i risultati della società di sicurezza Check Point, sono stati utilizzati quattro metodi chiaramente distinguibili:
1.) Con il WannaCryptor, le aziende sono attaccate tramite infezione diretta attraverso i server.
2.) Le e-mail sono intervallate da link dannosi.
3.) Le e-mail contengono anche allegati PDF dannosi o file ZIP, che contengono anche file dannosi.
4.) Inoltre, sono stati registrati attacchi a forza bruta contro i server RDP, che diffondono anche il ransomware se hanno successo.
(Maggiori informazioni sotto questo Link)
Contromisure operative
Quello che è successo negli ospedali spagnoli e inglesi in particolare, riporta alla memoria la primavera del 2016, quando il trojan crittografico Locky ha portato scompiglio in Germania in particolare e ha portato a situazioni eccezionali simili. Questa volta, però, il malware si diffonde come un virus e si diffonde da un computer attraverso l'intera rete ad altri computer.
Le organizzazioni e i loro dipartimenti IT dovrebbero ora scansionare i loro sistemi IT, bloccare gli allegati e-mail potenzialmente pericolosi e tentare di filtrare il codice dannoso. Ancora meglio è l'uso di speciali tecnologie di sicurezza per filtrare il codice dannoso dagli allegati di posta elettronica prima che i dipendenti possano aprirli.
Le soluzioni per il rilevamento di siti web infetti assicurano anche il blocco dei link nelle e-mail. Sono anche già disponibili soluzioni che rilevano e fermano il ransomware sull'endpoint come ultima risorsa e ripristinano automaticamente i file che sono già stati criptati. Qui una clip di come funziona:
Se tali soluzioni sono in uso, allora le organizzazioni sono protette dagli attacchi con WannaCry & Co. Tuttavia, i collaboratori devono anche essere formati per riconoscere gli allegati sospetti e segnalarli alle autorità competenti come MELANI.
La centrale d'annuncio e d'analisi svizzera MELANI raccomanda alle imprese di adattare le loro misure di sicurezza contro "WannaCry & Co. Link per procedure concrete (formulate solo in inglese per il momento).
