Home > Primo Piano > Sarà un lunedì nero? Considerazioni sul ransomware "WannaCry"

Sarà un lunedì nero? Considerazioni sul ransomware "WannaCry"

articolo pubblicato da: SABMCS | segnala un abuso

Sarà un lunedì nero? Considerazioni sul ransomware

 Dopo solo tre ore dall’inizio della diffusione di massa "WannaCry" ha mietuto numerosissime vittime in 11 Paesi. Gli effetti sono stati tali da spingere le organizzazioni colpite a richiedere l’immediato spegnimento di tutti i computer. G DATA raccomanda fortemente di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

 
Un fulmine a ciel sereno
 
Nelle prime ore del mattino (CET) di venerdì 12 maggio in tutto il mondo si è rilevata un’ondata considerevole di infezioni ad opera dell’ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l’origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l’obiettivo di distribuire il ransomware attraverso i più svariati canali.
 
Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L’exploit è chiamato ETERNALBLUE ed è parte dei file diffusi pubblicamente lo scorso mese.
 
In Spagna, presso l’operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.
 
Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.
 
Infezione rallentata, l’eroe accidentale di WannaCry
 
Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un’infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.
 
Contromisure
 
La falla di sicurezza che ha aperto la strada all’infezione e che trova riscontro anche nel CVE è stata identificata come "critica” e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell’ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003, microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.
 
A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto. E’ inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.
 
I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.
 
Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

G DATA | WannaCry | ransomware | antivirus | bot net | Eternalblue | mail infette | malvertizing | Microsoft | NSA | patch | software | trojan | update | VPN | WCry |



Commenta l'articolo

 

Potrebbe anche interessarti

Acronis avverte: sarà l'anno peggiore per numero di attacchi informatici e incidenti con perdita di dati


Sondaggio Acronis: evidente gap tra rischi per la sicurezza e preparazione degli utenti


Il mostro sotto il vostro letto è reale e si chiama “ransomware”


Osiris ransomware: la famiglia Locky si allarga


MRG Effitas: Acronis True Image batte la concorrenza in fatto di protezione


 

Se ritieni meritevole il nostro lavoro fai una donazione


Stesso autore

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717
 Snom, pioniere e produttore tedesco leader di telefoni IP per l’uso professionale annuncia la disponibilità del suo nuovo D717, il modello “entry level” della serie premium di terminali IP da scrivania D7xx. A dispetto della qualifica di modello di base, lo Snom D717 é paperless, poichè dotato di tasti funzione digitali e di un display a colori, risulta (continua)

Tre scenari d’impiego delle moderne soluzioni per teleconferenze

Tre scenari d’impiego delle moderne soluzioni per teleconferenze
 Snom, produttore internazionale di telefoni IP premium per aziende e professionisti illustra come soluzioni per teleconferenze non invasive nè impattanti sul budget IT consentano di incrementare la produttività di qualsiasi organizzazione, dalle start-up alle PMI, fino alle grandi aziende, grazie alla loro fruibilità nei più diversi scenari d’uso.   S (continua)

Infrastruttura IT ombra: una vera sfida per il reparto IT

Infrastruttura IT ombra: una vera sfida per il reparto IT
 Nelle aziende, i responsabili dell’infrastruttura IT sono solitamente in prima linea quando si tratta di misurare l'impatto di eventuali variazioni del modo di operare dei dipendenti. Nonostante l’assiduo monitoraggio, negli ultimi anni sono emerse nuove pratiche non sicure tra cui la "Shadow IT", ovvero l'uso di applicazioni e servizi, spesso basati su cloud, parallela (continua)

Snom affida a Fabio Albanini la guida dei mercati internazionali

Snom affida a Fabio Albanini la guida dei mercati internazionali
 Il noto produttore tedesco di terminali IP premium conferisce al navigato Manager la leadership sull’intera compagine commerciale EMEA. Obiettivo: armonizzazione e crescita.   Snom Technology affida con decorrenza immediata a Fabio Albanini, attuale Managing Director di Snom Italia e già incaricato di guidare cinque tra i mercati internazionali più rilevanti per il (continua)

Per Stormshield un 2018 in forte accelerazione

Per Stormshield un 2018 in forte accelerazione
 Stormshield, attore europeo di riferimento nel mondo della cybersecurity e azienda di proprietà del gruppo Airbus condivide i risultati del 2018, che ha visto l’azienda incrementare i propri fatturati di oltre il 20% grazie al netto aumento delle proprie vendite in Francia come in Europa. Il produttore pure-play di software per la sicurezza informatica ha altresì consolid (continua)