Logo ImpresaCity.it

WannaCry, il diluvio ransomware non risparmia nessuno

Un attacco cybercrime massivo e devastante ha messo sotto assedio strutture informatiche critiche di circa un centinaio di Paesi in tutto il mondo

Autore: Piero Macrì

wannacry-05.png

A hard rain is gonna fall, profetizzava Bob Dylan in una delle sue più celebri canzoni. Se ai tempi il pericolo era quello di un fall-out atomico oggi l'incubo è il crimine informatico. E il diluvio è arrivato con un’azione massiva e devastante del ransomware WannaCry. Sotto assedio strutture informatiche critiche come ospedali e impianti produttivi di circa un centinaio di Paesi in tutto il mondo. Russia e Uk le aree geografiche più colpite. Risparmiata l'Italia dove i danni sembra siano stati marginali.

Secondo quanto riportato da Check Point, il ransomware che ha sferrato l’attacco è, nello specifico, la versione 2.0 di WCry, noto come WannaCry o WanaCrypt0r. "La versione 1.0 di questo ransomware - si afferma nell'informativa della società israeliana era stata scoperta lo scorso 10 febbraio, ma il ransomware era stato finora poco utilizzato".

Il virus che si sta rivelando letale per molte organizzazioni, non lo si scorderà tanto facilmente ed è destinato a restare negli annali del cybercrime, sia per la globalità delle aree colpite, sia per gli effetti procurati. Ma dobbiamo rassegnarci: attacchi di questo tipo, se non più intensi, sono destinati a ripetersi.

Il ransomware - malware che rende vitualmente possibile riprendere il controllo dei propri computer solo dietro pagamento di un riscatto (300 dollari la cifra richesta in questa occasione) - è un vettore di attacco che si è iniziato ad utilizzare in modo massiccio negli ultimi due anni e il suo utilizzo è incentivato dalle elevatissime opportunità di profitto.

verizone-ransomware.jpg
            La progressione degli attacchi ransomware nel biennio 2015-2016 - Fonte Verizon


Un episodio annunciato, quello di WannaCry. All'inizio dell'anno tutte le aziende di security si erano espresse molto chiaramente, affermando che il ransomware si stava imponendo come il malware più diffuso e temibile. "Il 2017 sarà l'anno del ransomware", si era ripetutamente dichiarato. Così è stato. Si deve peraltro aggiungere - come si apprende dalle note inforamtive rilasciate dalle security companies - che lo stesso ceppo ransomware cui appartiene WannaCry era stato individuato e reso inoffensivo per tutti coloro che hanno in seguito provveduto agli aggiornamenti delle soluzioni di sicurezza.

La notizia di oggi conferma l'estrema pericolosità delle attuali organizzazioni che operano nel cybercrime e dimostra che nulla deve essere sottovalutato; che i sistemi informatici vanno protetti, attenuando i possibili rischi. E' indispensabile, come spesso più volte affermato dagli esperti, mettere in atto tutte le misure più adeguate, aggiornando innanzitutto i sistemi di sicurezza perimetrale e di endpoint ed eliminando, dove necessario, il parco macchine non più difendibile, in quanto obsoleto o non più supportato da aggiornamenti.

Lo scorso mese di marzo, in occasione della presentazione dell’ultimo Rapporto Clusit si affermava che la situazione era da allarme rosso, non solo dal punto di vista quantitativo, ma anche dal punto di vista qualitativo: “Mai avremmo potuto immaginare che nel giro di un così breve tempo la situazione avrebbe raggiunto i livelli di gravità che si sono oggi evidenziati. Senza mezzi termini, il quadro che emerge dai dati è disastroso, e siamo ormai giunti ad una condizione di costante, quotidiano allarme rosso”.

Sotto attacco questa volta, e in particolare, le strutture sanitarie, in prima fila l'NHS, il servizio sanitario inglese. Una notizia che non sorprende, ma che appare largamente prevedibile. Nell’ultimo anno questo settore è stato, infatti, al centro di numerosi attacchi, cresciuti anno su anno del 102%. Non solo, non bisogna mai scordare che il cybercrime prende di mira i sistemi informativi più vulnerabili e intrensicamente poco difendibili. Un po' come avviene nel mondo animale dove i predatori attaccano le prede più deboli. E il settore sanitario, in taluni casi, sembrerebbe essere una preda più accessibile di altre.

Giusto giovedì scorso, sul quotidiano britannico Daily Telegraph era apparso un breve trafiletto in cui si dava notizia della obsolescenza dei personal computer utilizzati nell’organizzazione, molti dei quali operano ancora sotto Windows Xp, sistema che non viene più supportato con aggiornamenti e patch di sicurezza dal 2004. WannCry ha così, verosimilmente, sfondato una porta aperta e ha messo fuori uso i servizi sanitari di sua Maestà. Ad essere stati compromessi sono stati anche i sistemi produttivi di Reanult in Francia e Nissan in Uk. In Germania disservizi sono stati resi noti dalla società che gestisce i sistemi ferroviari.

Al momento non si sa ancora quale gruppo criminale sia responsabile degli attacchi. Probabilmente un'azione che ha visto coinvolte e "consorziate" più organizzazioni. Un’ipotesi è che il tutto possa aver un qualche collegamento con le attività investigative di Shadow Brokers, il gruppo di hacker venuto alla ribalta nel giugno 2016 per avere diffuso informazioni sui tool di spionaggio utilizzati dalla National Security Agency statunitense, che sfruttava per l’appunto vulnerabilità note di Windows. Gruppi criminali, secondo le notizie che si rincorrono sulla stampa internazionale, avrebbero sfruttato questo tipo di vulnerailità. Tuttavia, allo stato dei fatti, sono solo ipotesi.

Più recentemente, lo scorso aprile, gli hacker di Shadow Brokers avevano pubblicato nuovi dettagli su 12 vulnerabilità che affliggono Windows, da Xp per arrivare anche alla versione 10. In quell’occasione Microsoft aveva affermato che “Molti degli exploit resi noti riguardano vulnerabilità coperte da patch per tutti i nostri prodotti supportati”.

Si affermava inoltre che tre bug inclusi nella lista - “EnglishmanDentist”, “EsteemAudit” ed “ExplodingCan” - non potessero colpire sistemi operativi supportati (Windows 10), ma che potevano essere sfruttati come vulnerabilità sulle piattaforme più vecchie, come Windows Xp o Vista (Secondo quanto riferito da Trend Micro in questo caso la vulnerabilità usata è però EternalBlue riconducibile comunque alla lista Shadow Brokers).

L’invito, come sempre, era quello di passare a prodotti più recenti. Ma per alcuni il tempo per l'aggiornamento e per l'approntamento di un sistema di protezione più efficiente è scaduto al'alba dell'attacco Ransomware WannaCry del 12 maggio 2017.

Si è poi saputo che nel corso della serata di ieri un informatico ventiduenne, che lavora a Londra presso la società californiana Proofpoint, ha individuato nel codice virale un dominio che gli autori avevano prescelto per poter disattivare l'attacco. La società registrando il dominio con l'intenzione di tracciare la dinamica dell'attacco ha inconsapevolmente disinnescato l'attacco evitando ulteriori infezioni dirette. Tuttavia, questo intervento non permette di bloccare in modo definitivo l'ulteriore propagazione del malware. WannaCry è infatti un ramsoware ibrido che incorpora anche una logica Worm, permettendo così al virus di autoreplicarsi e dare vita a nuove infezioni.


In queste ultime ore Microsoft ha reso disponibili emergency security patch update per tutti i sitemi operativi Windows non supportati, vale a dire Windows XP, Vista, Windows 8, Server 2003 and 2008 Editions. Se la vostra organizzazione sta ancora utilizzando questi sistemi  download and APPLY PATCH NOW!

Pubblicato il: 13/05/2017

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

Stampanti e gestione documentale

speciali

Quale futuro per le applicazioni d’impresa?