WannaCry, letteralmente "voglio piangere", è il malware che ha portato a un livello mai visto prima la sfida alla sicurezza informatica mondiale. La Polizia postale e delle Comunicazioni è in allerta per l'attacco hacker a livello globale compiuto attraverso un ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r. Il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche (CNAIPIC), sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure idonee a garantire la massima sicurezza delle infrastrutture informatiche del Paese.
Costante il rapporto del CNAIPIC con gli organismi di cooperazione internazionale ed in particolare con l'European Cybercrime Centre - EC3 di Europol. Diramati dal CNAIPIC diversi alert di sicurezza con gli indicatori di compromissione relativi all'attacco hacker, utili per l'innalzamento del livello di sicurezza dei sistemi informatici. Dai primi accertamenti effettuati, sebbene l'attacco sia presente in Italia dal primo pomeriggio di venerdì 12 maggio, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese. In generale i comportamenti rilevati dagli specialisti della Polizia postale vedono:
1. le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell'infezione); 2. Il malware si installa infatti nella macchina "vittima" sfruttando il noto bug EternalBlue e deposita l'eseguibile "mssecsvc.exe" nella directory di sistema C:\windows; 3. Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili; 4. La prima attività consiste nel cifrare determinate tipologie di file come dal link seguente http://bit.ly/2rlw1oZ. 5. La seconda provvede a propagare il malware sulla eventuale rete locale (LAN) presente sfruttando la vulnerabilità suddetta del protocollo Server Message Block (SMB) con le porte TCP 445 e 139.
Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445; 6. Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete. Pertanto per difendersi dall'attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia:
Lato client/server: • installare la patch MS17-010 per sistemi Microsoft Windows; • aggiornare il software antivirus; • disabilitare dove possibile e ritenuto opportuno i servizi SMB e RDP; • il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette; • il malware attacca sia share di rete che backup su cloud, quindi per chi non l'avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati. Lato sicurezza perimetrale: • eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS); • dove ritenuto opportuno bloccare il traffico in entrata su protocolli SMB e RDP. Per ulteriori informazioni: www.commissariatodips.it
Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445; 6. Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete. Pertanto per difendersi dall'attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia:
Lato client/server: • installare la patch MS17-010 per sistemi Microsoft Windows; • aggiornare il software antivirus; • disabilitare dove possibile e ritenuto opportuno i servizi SMB e RDP; • il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette; • il malware attacca sia share di rete che backup su cloud, quindi per chi non l'avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati. Lato sicurezza perimetrale: • eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS); • dove ritenuto opportuno bloccare il traffico in entrata su protocolli SMB e RDP. Per ulteriori informazioni: www.commissariatodips.it
Via: Polizia di Stato
Nessun commento:
Posta un commento