Kaspersky, il GM Morten Lehn traccia il profilo di WannaCry

Kaspersky, Morten Lehn traccia il profilo di WannaCry

Morten Lehn, General Manager Italy di Kaspersky Lab, risponde alle nostre domande e ci aiuta a inquadrare gli attacchi basati sul ransomware WannaCry.

- Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
WannaCry è un massiccio attacco ransomware che ha colpito le organizzazioni di tutto il mondo. Abbiamo analizzato i dati e possiamo confermare che i sottosistemi di protezione dell’azienda hanno rivelato almeno 45.000 tentativi di infezione in 74 paesi, la maggior parte in Russia. WannaCry si divide in due parti. La prima parte è un exploit il cui scopo è quello di infettare e propagarsi. La seconda parte invece è un encryptor che si scarica nel PC dopo che viene infettato. Questa è la principale differenza tra WannaCry e la maggior parte degli altri encryptor. Per infettare un computer con un encryptor comune un utente deve commettere un errore, ad esempio facendo clic su un collegamento sospetto o scaricando un allegato dannoso da un messaggio di posta elettronica. Mentre con WannaCry, un sistema può essere infettato senza che l’utente faccia nulla.
Le cause che si celano dietro agli attacchi informatici possono variare a seconda del tipo di attacco e possono essere: il guadagno economico, il desiderio di dimostrare il proprio punto di vista sociale o politico, lo spionaggio informatico o addirittura il cyberterrorismo. Il fatto che i criminali abbiano richiesto 300 USD in bitcoin suggerisce che si tratta di un attacco random e non di un attacco mirato. Se l’attacco può avere un impatto su tanti sistemi in una sola volta perché non chiedere più denaro e limitarsi ad una cifra così irrisoria?

- Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
Il ransomware infetta le vittime sfruttando una vulnerabilità di Microsoft Windows descritta e risolta nel Microsoft Security Bulletin MS17-010. L’exploit utilizzato, "Eternal Blue", è stato rivelato nel deposito Shadowbrokers il 14 aprile. Una volta all'interno del sistema, i criminali installano un rootkit, che consente loro di scaricare il software per crittografare i dati.
Il ransomware sfrutta una versione dell’exploit “Eternal Blue”, identificato a seguito della pubblicazione effettuata da ShadowBrokers, il quale abusa della vulnerabilità CVE-2017-0144. Quest’ultima interessa una funzionalità per la condivisione dei file utilizzata dai sistemi Microsoft Windows ed è stata risolta a Marzo 2017.

- Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Si consiglia, laddove non sia già stato effettuato, di installare il prima possibile gli aggiornamenti relativi al bollettino MS17-010. Gli utenti che utilizzano versioni di Windows non più supportate (quali ad esempio Windows XP) possono far riferimento alla pagina.
Gli utenti Kaspersky possono verificare che il loro prodotto abbia la funzionalità System Watch, componente di rilevazione proattiva in grado di bloccare le minacce ransomware, e che quest’ultima risulti attiva. Gli utenti che non utilizzano prodotti kaspersky possono utilizzare lo strumento Kaspersky Anti-Ransomware Tool.

- Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Per ridurre il rischio di infezione noi di Kaspersky Lab suggeriamo di:
- Installare la patch ufficiale di Microsoft che chiude la vulnerabilità usata per l’attacco;
- Assicurarsi che le soluzioni di protezione siano attivate su tutti i nodi della rete;
- Se si utilizza la soluzione Kaspersky Lab, accertarsi che includa il System Watcher, un componente di rilevamento proattivo del comportamento e che sia acceso;
- Eseguire il più presto possibile la Scansione Area Critica nella soluzione di Kaspersky Lab per rilevare le possibili infezioni (altrimenti verrà rilevato automaticamente, se non spento, entro 24 ore);
- Riavviare il Sistema se si rileva MEM: Trojan.Win64.EquationDrug.gen;
- Utlizzare i servizi Customer-Specific Threat Intelligence Reporting.

- In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Da quando le aziende avranno maggiori obblighi nei confronti dei dati dei propri clienti sarà ancora più importante che sappiano salvaguardarli. Come ci insegna questo caso è importante che le aziende abbiano soluzioni di sicurezza affidabili e che aggiornino sempre i programmi, sia i sistemi operativi sia le soluzioni di sicurezza. Di particolare importanza l’attivazione di politiche contro la perdita dei dati attraverso l’utilizzo di procedure che salvaguardino le informazioni da cancellazione e modifiche illecite.
Inoltre anche la formazione del personale è fondamentale per evitare negligenze e per segnalare subito eventuali anomalie in modo da limitare il più possibile i danni.

- La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
La formazione del personale è sicuramente un tassello fondamentale della sicurezza delle aziende: riduce infatti il rischio che i dipendenti compiano delle negligenze e aumenta la probabilità che segnalino subito eventuali anomalie in modo da limitare il più possibile i danni.
Un altro fattore che aiuta a ridurre la portata di un attacco è la buona gestione della rete. Un esempio di buona gestione della rete è non assegnare i diritti di amministratore ai computer in modo automatico ma segmentarli in diverse parti della rete e limitare l'accesso ai dati a chi ne ha bisogno.