Un attacco hacker mondiale? Prima o poi sarebbe arrivato, e così è stato.
Il 12 maggio 2017 il virus informatico Wanna Cry – ovvero, Voglio Piangere – ha infettato centinaia di migliaia di sistemi Microsoft Windows in tutto il mondo, mettendo in ginocchio più di 105 paesi, Italia compresa.
Una vera e propria epidemia su vasta scala che ha colpito più di duecentomila computer, paralizzando aziende e organizzazioni, dal Servizio Sanitario Nazionale inglese alla compagnia telefonica spagnola Telco, passando per FedEx, Renault, Deutsche Bahn e il Ministero degli Interni russo.
Tra i paesi più colpiti troviamo Spagna, Gb, Usa, Cina, Portogallo, Vietnam, Russia e Ucraina. Per quanto riguarda l’Italia, invece, la Polizia Postale ha confermato l’assenza di danni a sistemi e infrastrutture rilevanti a livello nazionale (nonostante abbia subito l’attacco anche l’Università degli Studi Milano-Bicocca).
La propagazione del virus è stata fortunatamente rallentata da un giovanissimo ricercatore britannico il quale ha individuato un kill switch, cioè un meccanismo di blocco presente all’interno dello stesso virus. E’ bastato registrare l’indirizzo web che Wanna Cry cerca sempre di contattare prima di infettare un computer per rallentare l’infezione.
Come opera il virus Wanna Cry
Come hanno colpito i cyber criminali, questa volta?
Sugli schermi dei computer di mezzo il mondo è comparsa una schermata di blocco contenente un avviso per gli utenti – l’avvenuto criptaggio dei dati – con conseguente impossibilità di accedere al sistema. Per riportare i file in chiaro, ed evitare che vengano perduti per sempre, Wanna Cry chiede all’utente di pagare al più presto un riscatto. La somma inizialmente richiesta è l’equivalente di 300 dollari in bitcoin, ma la cifra incomincia poi a salire progressivamente con il passare del tempo.
Un vero e proprio ricatto, una truffa informatica dalle proporzioni mai viste.
Wanna Cry, però, non è una minaccia del tutto sconosciuta agli esperti di sicurezza IT.
Si tratta di un virus informatico appartenente alla famiglia dei Ransomware, una versione evoluta (e più pericolosa) di CryptoLocker: un malware (come dice il nome stesso) che limita l’accesso al computer infetto, criptando i file e bloccando ogni possibilità di interagire con il dispositivo. Per riacquistare il controllo del PC e decriptare i dati, il programma chiede un riscatto (in realtà, una truffa, poiché nonostante il pagamento i responsabili dell’attacco molto spesso non rilasciano comunque i codici di sblocco).
Ecco una schermata di esempio del virus Wanna Cry:
La causa delle infezioni: una vulnerabilità del sistema Windows
Wanna Cry – conosciuto altresì come WCry o WanaCrypt0r 2.0 – ha utilizzato un exploit chiamato EternalBlue, una cyber arma ideata dalla NASA per attaccare sistemi informatici basati appunto su sistema operativo Windows, rubata lo scorso aprile da un gruppo hacker che si fa chiamare The Shadow Brokers.
Il malware si diffonde inizialmente tramite email-esca, attraverso le quali si installa sul computer della vittima e inizia a diffondersi. Una volta infettata una macchina, infatti, il virus sfrutta la vulnerabilità del protocollo SBM per scandagliare la rete e individuare altri sistemi, ugualmente esposti, e li infetta, senza la necessità di alcun intervento da parte dell’utente.
Eseguito l’exploit, Wanna Cry accede al sistema e cripta i file, aggiungendo l’estensione .wcry. Alla vittima è perfino precluso il riavvio del sistema.
Dopodiché compare una schermata di blocco, con cui viene chiesto all’utente di pagare un riscatto per riacquistare il controllo del dispositivo e non perdere i file.
Wanna Cry ha dunque sfruttato una vulnerabilità di Windows che era già stata individuata e corretta da Microsoft il 14 marzo 2015 con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)”.
Tutti i computer non aggiornati, o privi di quella specifica patch, sono risultati esposti e, di conseguenza, sono stati vittime dell’attacco.
Come proteggersi dai Cyber attacchi Wanna Cry
E’ evidente che per proteggersi da eventuali attacchi futuri del virus Wanna Cry – o successive evoluzioni – occorra, in primo luogo, eliminare il fattore di vulnerabilità, attraverso l’immediata installazione della patch sviluppata e pubblicata il 14 Maggio 2017 da Microsoft con il Microsoft Security Bulletin MS17–010-Critical.
E’ possibile implementare il protocollo di sicurezza attivando un buon antivirus, che deve però essere aggiornato ad una versione successiva al 12 maggio 2017.
Una nuova evoluzione del malware potrebbe non essere individuata dal sistema antivirus: ecco perché proteggere il computer non basta, occorre necessariamente attivare la patch MS17–010 fornita da Microsoft e mantenere il Sistema Informativo allineato agli ultimi aggiornamenti rilasciati da Microsoft.
Fate attenzione, però: Windows Xp e Windows Server 2003 non sono più supportati da Microsoft e non vengono quindi più rilasciati aggiornamenti per questi Sistemi Operativi.
Per ridurre ulteriormente le probabilità di subire un attacco, oltre naturalmente alla necessità di disporre di un backup non compresso, è consigliabile:
– provvedere al blocco del protocollo SMB sui router/firewall di frontiera;
– disattivate il protocollo SMB ove non specificamente richiesto;
– bloccate i router/firewall di frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali AlienVault e US-CERT.
Per contrastare l’azione del malware è fondamentale dotarsi di una soluzione di Backup professionale con annesso Disaster Recovery Plan. Spesso, infatti, anche il backup tradizionale viene criptato, rendendo quindi impossibile il ripristino dei dati: per questo motivo, occorre seguire la regola del 3-2-1 backup e custodire più copie, in luoghi diversi, di dati e applicazioni fondamentali per la continuità aziendale (backup delocalizzato, con un periodo di retention adeguato).
Non dimenticate di tenere gli occhi aperti durante il quotidiano utilizzo del proprio dispositivo: non aprite mai e-mail inattese o comunque di provenienza incerta e non cliccare per nessuna ragione su link contenuti all’interno né scaricate allegati.
Per garantire la continuità del tuo Business, segui questi consigli e scegli una soluzione di backup professionale per proteggere i tuoi dati.
Contatta subito gli esperti di UnoCloud Backup.