Acronis - Mauro Papini, Country Manager
WannaCry fa parte della categoria dei ransomware, ovvero particolari tipi di virus, che rende inaccessibili i file sul proprio computer. Sebbene tali software possano potenzialmente colpire ambienti eterogenei, tipicamente il sistema operativo più colpito è Windows. In questo caso ha colpito in particolare sistemi meno recenti, come Windows 7 e 8. La cosa interessante di questo virus, è stata tuttavia la modalità di propagazione. Il virus si diffonde attraverso finte email, come quasi tutti del resto. Di solito però, l’approccio era del tipo uno ad uno, "una mail aperta, un utente infettato.” Per cui per infettare migliaia di Pc era necessario che migliaia di utenti cascassero nella trappola. In questo caso invece, dopo essersi installato su un computer, il virus cominciava da solo a infettare altri sistemi presenti sulla stessa rete, ed eventualmente anche visibili su internet. La propagazione di massa è perciò avvenuta senza ulteriori interazioni da parte degli utenti. Questa è stata la vera novità del fenomeno. Per potere raggiungere questo scopo, i creatori del virus hanno sfruttato una vulnerabilità di alcuni sistemi Windows. In particolare una falla nel protocollo SMB. Tipicamente si parla di sistemi di tipo client anteriori alla versione più recente. E parliamo comunque di milioni di macchine. Ovviamente sono sistemi che non sono stati aggiornati non solo nel sistema operativo, ma nemmeno a livello di sicurezza, poiché la vulnerabilità era nota e una patch risolutiva era già disponibile da marzo. Quanto è accaduto accadrà ancora, poiché la volontà criminale degli sviluppatori di tali programmi è giustificata dal profitto potenziale, e permangono le condizioni che ne favoriscono le aspettative.


Arbor Networks - Darren Anstee, Chief Technology Officer
Il fatto che Microsoft abbia rilasciato diverse patch per versioni di Windows non supportate illustra la scala di questo problema. L’installazione delle patch è il primo passo che tutte le organizzazioni dovrebbero compiere. Dopo le patch, occorre eseguire una corretta segmentazione della rete, una pratica sempre opportuna e caldamente consigliata in situazioni di questo tipo. La segmentazione della rete limita l’esposizione di Microsoft SMB non solo a livello esterno ma anche sulle reti interne. Numerose fonti fanno riferimento a un ricercatore di malware che ha involontariamente trovato il cosiddetto “kill switch”, una sorta di interruttore di spegnimento del malware. Va sottolineato che potrebbe anche essersi trattato di una tecnica di anti-reversing utilizzata dai responsabili dell’attacco visto che spesso i ricercatori di cybersicurezza risolvono automaticamente ciò che il malware sta cercando per tenerlo in funzione. A prescindere dall’intenzione dell’autore del malware o dal colpo di fortuna del ricercatore che ha registrato il dominio, nel momento in cui scriviamo, la raccomandazione da fare sarebbe di non bloccare quel dominio. In ogni caso, il “kill switch” non deve generare una falsa sensazione di sicurezza. È infatti estremamente probabile che venga rilasciata a breve una nuova variante molto più difficile da contrastare. Prevediamo inoltre che i nodi Tor di WannaCry saranno oggetto di indagini approfondite da parte dei ricercatori di sicurezza informatica ma anche di attacchi di altri criminali che cercano di raggranellare qualche bitcoin. Questo evento ha evidenziato i problemi associati all’acquisto di infrastrutture informatiche nell’ambito di progetti o funzioni specifiche in assenza del budget o delle capacità necessarie per garantirne il costante aggiornamento. Man mano che apprendiamo nuovi dettagli sulla diffusione di WannaCry attraverso varie organizzazioni, emergono due concetti chiave. Innanzitutto, vediamo che il personale di un’organizzazione può costituire un anello debole dal punto di vista della sicurezza e quindi, anche a fronte della complessità raggiunta dalle odierne campagne di spear phishing, la formazione del personale in materia di link e allegati sospetti è ormai di fondamentale importanza. Secondariamente, la visibilità dell’attività della rete interna (chi parla con chi, quando e con che frequenza) permette di individuare precocemente le minacce e di impedirne la diffusione mediante la corretta segmentazione della rete.

Check Point - David Gubiani, Security Engineering Manager
Il malware WannaCry è un ransomware ovvero un codice malevolo che crypta tutti i file su un PC e chiede un riscatto per decifrarli e ripristinarli, in più si comporta anche come un Worm, ovvero cerca di propagarsi sia internamente che verso internet. Si è parlato tanto di cyberwar e quant’altro, ma la mia opinione è che si tratti di un attacco ben riuscito da parte di cybercriminali per trarne profitto. L’attacco ha sfruttato la vulnerabilità Microsoft MS17-010 che è presente su tutte le piattaforme Microsoft non allineate con le ultime patch. Peraltro la patch era disponibile da marzo per le piattaforme ancora supportate da Microsoft e pochi giorni dopo l’attacco, la patch è stata reso disponibile anche per i vecchi sistemi operativi non più supportati, come XP. Un attacco del genere ha dimostrato come tutti noi siamo vulnerabili e come la sicurezza non sia un problema di tecnologia, ma di come utilizzarla. Le aziende devono fondamentalmente dotarsi al più presto di sistemi in grado di ridurre al minimo i rischi quali IPS (Intrusion Prevention Systems) e soluzioni anti ransomware quali, per esempio, Check Point SandBlast Agent. Inoltre i dipendenti devono imparare a diventare più consapevoli ed evitare azioni scorrette che possono danneggiare sé stessi e l’azienda. Purtroppo vediamo ancora che la formazione non è parte di un processo sistematico, sarebbe di fondamentale importanza alzare il livello di awareness in azienda rispetto alle minacce ed all’utilizzo “intelligente e consapevole” dei mezzi informatici. Un livello di conoscenza più elevato aiuterebbe sicuramente l’azienda a ridurre notevolmente i rischi e creerebbe valore nel senso che la responsabilità (oggettiva e non legale ovviamente) in tema di sicurezza verrebbe così condivisa a tutti i soggetti dell’azienda e non solo ai team preposti, riducendo i rischi e i costi a fronte di un disastro informatico.

CISCO 
Venerdì 12 maggio è stato sferrato un pesante attacco ransomware contro molte aziende di tutto il mondo, incluse alcune aziende italiane. Si presume che l'attacco si sia diffuso in ben 150 paesi a livello globale. Il malware responsabile dell'attacco è una variante del ransomware nota come "WannaCry" che si installa sfruttando una vulnerabilità del protocollo Microsoft SMB senza ricorrere a phishing o malvertising, che sono in normali vettori di distribuzione del ransomware. SMB è un protocollo di rete utilizzato per condividere file tra computer. Questa rapidissima diffusione del ransomware è in parte dovuta al fatto che ha la capacità di propagarsi lateralmente sulla stessa rete, installandosi automaticamente in altri sistemi della rete senza richiedere alcun intervento dell'utente finale.Questo malware è efficace soprattutto negli ambienti che includono sistemi Windows XP, perché è in grado di eseguire una scansione approfondita sulla porta TCP 445 (SMB, Server Message Block), compromettendo gli host, crittografando i file memorizzati al loro interno e quindi esigendo il pagamento di un riscatto sotto forma di Bitcoin.Immediatamente, già nel corso del weekend, il nostro team di esperti di intelligence sulle minacce, Cisco Talos, ha svolto un lavoro senza precedenti per informare in modo tempestivo gli utenti sull'attacco. Per saperne di più su come tenere testa al ransomware, abbiamo reso disponibile un documento sul nostro portale.

ESET - Luca Sambucci, Operations Manager Eset Italia -  L’attacco globale di Wannacry, che ha colpito 99 paesi nel mondo, ha confermato quanto i ransomware siano una delle minacce informatiche più pericolose degli ultimi anni. Queste minacce sono diventate un metodo estremamente diffuso con cui gli autori di malware tentano di estorcere denaro agli utenti e si diffondono usando diverse tecniche, come il phishing o come in questo caso sfruttando le vulnerabilità dei sistemi operativi. Per evitare o minimizzare gli effetti di Wannacry - e del prossimo attacco che sfrutterà vulnerabilità già note - è fondamentale perseguire una buona gestione degli aggiornamenti di sicurezza e una revisione delle policy per gli utenti, nonché verifiche ricorrenti per assicurarsi che siano applicate. Anche l'uso di un sistema di sicurezza proattivo riesce minimizzare i danni. Per fare un esempio, il modulo per la protezione della rete di ESET (ESET network protection) bloccava i tentativi di sfruttare queste vulnerabilità ben prima che questo particolare malware iniziasse la sua diffusione.

FireEye - Marco Rottigni, Consulting SE
La campagna ransomware WannaCry ha colpito le organizzazioni a livello mondiale a partire dal 12 maggio. Questo attacco, nello specifico, ha messo in evidenza la necessità di un approccio Intelligence Led Security e in particolare di un approccio Intelligence Led Patching in quanto l’exploit, seppur conosciuto, è stato decisamente sotto stimato da molti amministratori IT. Tutte queste campagne di hacking hanno un denominatore comune: sfruttano la debolezza della catena di sicurezza, cioè il fattore umano. Non importa quanto potente e solida sia l'infrastruttura di sicurezza, le violazioni sono comunque inevitabili. Le aziende dovrebbero concentrarsi su priorizzare correttamente gli allarmi, aumentare la visibilità, i dettagli e il contesto degli eventi rilevanti di security sulla rete e sugli endpoint. Dovrebbero inoltre aumentare le proprie capacità e la velocità di risposta per isolare, contenere e estromettere l'attaccante; riducendo al minimo l'intervallo di tempo dalla compromissione iniziale alla scoperta di essere compromessi (dwell time) e quindi i rischi di perdere i dati, siano essi crittografati o meno. Le migliori contromisure combinano una grande visibilità con dipendenti adeguatamente preparati, che comprendono i rischi legati al lavoro quotidiano con strumenti informatici generalmente vulnerabili.

Fortinet - Antonio Madoglio, SE Manager
Il modo in cui WannaCry ha agito non è particolarmente diverso rispetto a quanto avvenuto con altri malware in passato. Ancora una volta sono stati utilizzati allegati di posta e link malevoli. Ciò che ha fatto davvero scalpore è la scala dell’attacco, che ha colpito oltre 250.000 computer in più di 150 paesi. L’attacco ha sfruttato alcune vulnerabilità critiche che la stessa Microsoft aveva evidenziato qualche mese fa e per cui erano state fornite patch specifiche. Come spesso accade però, numerosi sistemi non sono stati aggiornati e sono stati oggetto di questo attacco specifico. Se è fisiologico che i sistemi complessi presentino delle vulnerabilità, ai vendor spetta il compito di identificarle sul campo prima che vengano sfruttate da potenziali hacker, mentre i clienti hanno l’onere di mantenere i loro sistemi allo stato dell’arte. Come evitare di cadere vittima di attacchi del genere? La prima indicazione è quella di aggiornare regolarmente i propri sistemi con l’applicazione delle patch di sicurezza via via richieste – e non solo le soluzioni specifiche di security ma tutti i sistemi di produzione di un’azienda. Fatto questo, serve disporre di un sistema di sicurezza esteso, in grado di considerare l’infrastruttura aziendale nel suo complesso, identificando e correlando tra loro ogni possibile anomalia, e fornendo ai responsabili informazioni in tempo reale – ma anche storiche ed aggregate – su quello che sta succedendo nella rete. Il Fortinet Security Fabric permette di tenere sotto controllo tutti gli aspetti differenti di una rete aziendale, evidenziando ogni possibile anomalia e permettendo in ogni momento un intervento correttivo.

ForcePoint - Luca Mariani, Sales Engineer
WannaCry è uno dei contagi di malware più significativi che il mondo abbia visto negli ultimi anni. Imprese ed enti dovrebbero considerare un approccio di security Human-centric che protegga dipendenti, dati aziendali critici e proprietà intellettuale perchè non diventino degli obiettivi. Dall'inizio della campagna WannaCry, i clienti Forcepoint sono stati protetti - immediatamente dal nostro NGFW e subito dopo anche attraverso il nostro portafoglio di soluzioni core.
La miglior difesa inizia quando si comprende che ransomware e altre minacce malware hanno lo scopo di manipolare o di emulare il comportamento degli utenti, attraverso qualsiasi fonte di tecnologia. L’IT e il team di security dovranno assicurarsi di mantenere sempre aggiornati tutti i patch software lungo tutta l'infrastruttura ed in particolare i patch di Microsoft MS17-010. E’ importante che essi sviluppino inoltre una strategia che preveda l’osservazione dei rischi e dei comportamenti, un programma di education, formazione e sensibilizzazione e che attivino difese multi-layers di prodotti di sicurezza informatica che proteggano contro l'intero ciclo di vita delle minacce.

G DATA - Giulio Vada, Country Manager Italia
Ospedali non più in grado di gestire pazienti e pronto soccorso, parcheggi pubblici in tilt, linee di produzione bloccate. Queste sono solo alcune delle conseguenze di WannaCry, rivelatosi scarsamente redditizio per i suoi creatori ma altamente dannoso per le infrastrutture informatiche oggi alla base dell’economia mondiale. WannaCry ha mostrato per l’ennesima volta quanto sia importante considerare la sicurezza IT e l’investimento in formazione degli addetti alla stregua di altre misure per la mitigazione dei rischi aziendali ritenute erroneamente prioritarie. Basti pensare che il malware si è avvalso della posta elettronica come canale di diffusione primario, trovando nell’inconsapevolezza degli utenti un vettore di infezione ideale: un errore i cui effetti sarebbero stati peraltro limitati, se le aziende colpite fossero state dotate di un’accorta politica di patching e di soluzioni per endpoint in grado di bloccare a priori comportamenti anomali come la cifratura illegittima dei dati.

MCAFEE
I recenti attacchi che hanno sfruttato il ransomware WannaCry sono stati il primo esempio di attacco in grado di combinare tattiche di worm sfruttando il modello di business di ransomware. Lo sfruttamento degli exploit Eternal Blue resi pubblici settimane fa e il fatto che in migliaia non avessero effettuato gli aggiornamenti a seguito delle vulnerabilità MS-17-010 Windows OS hanno consentito a WannaCry di infettare centinaia di migliaia di computer, a livello globale e in un solo giorno. Inoltre, questi attacchi hanno compiuto tutto questo con poco o nessun coinvolgimento umano, come avviene in altre campagne di ransomware.
Quello che vediamo in genere con il crimine informatico è che quando qualsiasi tecnica si dimostra efficace, il più delle volte viene replicata. Dato che questo sembra essere stato un attacco abbastanza efficace, sarebbe molto ragionevole per altri aggressori cercare altre opportunità in modo simile.
WannaCry dovrebbe ricordare l’assoluta necessità di applicare rapidamente le patch. Parte del motivo per cui le organizzazioni IT esitano a ‘patchare’ è garantire che non ci siano problemi di incompatibilità software. Vale la pena sottolinearlo ancora: ogni volta che una patch deve essere applicata, esiste un rischio ad applicarla e un rischio altrettanto grave nel non applicarla. Spetta ai manager IT comprendere e valutare ciò che questi due rischi comportano per le loro aziende.

SonicWall - Florian Malecki, International Product Marketing Director
Il ransomware utilizzato nell’attacco Wannacry ha sfruttato un exploit chiamato EternalBlue sviluppato dall’NSA e diffuso dagli Shadow Brokers. Secondo il SonicWall Annual Threat Report, i tentativi di attacchi ransomware sono passati dai 3,8 milioni del 2014 alla sbalorditiva cifra di 638 milioni nel 2016, con una crescita del 167% anno su anno. Sebbene per questi exploit siano disponibili patch e signature, si presta poca attenzione all’aggiornamento dei sistemi di sicurezza, specialmente quelli tradizionali – peraltro molto diffusi in organizzazioni come ospedali e scuole – aumentando così il rischio di vulnerabilità. Dato che gli Shadow Brokers hanno già rilasciato diverse varianti di questo attacco, è fondamentale assicurarsi di aggiornare i sistemi con le patch e signature più recenti. Al fine di garantire la sicurezza delle aziende in caso di nuovi attacchi, SonicWall raccomanda di utilizzare la patch di Windows rilasciata da Microsoft, dotarsi di una sandbox multi-engine per potere esaminare i file sospetti in ingresso nella rete, fermare le minacce più recenti e proteggersi contro futuri breach. Occorre infine assicurarsi che il proprio next-generation firewall possa accedere ad aggiornamenti automatici delle signature per individuare attacchi ransomware tipo WannaCry per i quali non è sufficiente il semplice rilevamento del worm in quanto quest’ultimo si propaga internamente quando il sistema viene infettato.

Stormshield - Alberto Brera, Country Manager Italia
La percezione del rischio informatico e l’abilità delle aziende di contrastarlo non sono cambiati rispetto a dieci anni fa, quando ad imperversare era il worm Conficker abusando di servizi di rete legittimi come oggi WannaCry. Al contrario è evidente che infrastrutture e sicurezza IT nelle aziende non seguono di pari passo l’evoluzione della tecnologia ma ne siano succubi, se anche solo patchare tempestivamente i sistemi risulta oneroso. Ora che interconnessione dei sistemi, remotizzazione dei processi e delle applicazioni, “smartizzazione” risultano determinanti per il successo di qualsiasi azienda, il pernicioso gap di competenze digitali è terreno fertile per i cybercriminali. Risulta quindi quanto mai essenziale avvalersi di consulenti specializzati e di strumenti che proteggono in tempo reale efficacemente la propria infrastruttura contro minacce zero-day, minimizzando nel contempo le vulnerabilità intrinseche di perimetro e sistemi.

WatchGuard – Fabrizio Croce , Area Director South Europe
Anche per Wannacry, come per tutti i ransomware, si tratta di attacchi di tipo APT (Advanced Persistent Threat) che includono tecniche di evasione e di mascheramento e che rendono molto difficile se non impossibile la loro identificazione da parte dei classici antivirus basati su database di firme. Solo l’utilizzo di sistemi di sicurezza stratificata come i firewall di nuovissima generazione con tecnologie sandbox consentono di innalzare il livello di sicurezza a livelli molto più accettabili. Fino a poco tempo fa queste tecnologie erano ad appannaggio solo dell’enterprise, visti i costi, ma ora sono alla portata anche delle piccole aziende, che è di certo l’anello più debole e facilmente attaccabile dai ransomware. L’opinione degli esperti è che da molto tempo si era a conoscenza della specifica vulnerabilità di Windows nei protocolli SMB e RPC: nel momento in cui Microsoft ha rilasciato la patch di sicurezza, l’efficacia del malware che la sfruttava andava progressivamente a diminuire, quindi questo attacco è stato lanciato prima che molti sistemi fossero immunizzati. Chi può essere stato? Escluderei organismi di intelligence o cyberware. I primi perché lavorano nell’ombra e utilizzano queste falle di sicurezza per attacchi mirati e avanzati verso una infrastruttura critica nel modo più silente possibile, di certo non andrebbero a chiedere un riscatto di 300 $; scarterei anche la cyberware visto che a quanto pare la diffusione è omogenea, non esiste una nazione non colpita. Semplicemente, è quindi molto più probabile che si tratti delle classiche organizzazioni CyberCriminali che utilizzano questi malware per uno scopo molto semplice: fare soldi.