Speciale WannaCry, l'analisi dei produttori di soluzioni per la sicurezza

Undici vendor analizzano l'attacco malware WannaCry che ha colpito più di 250mila organizzazioni in oltre 150 paesi. Quello che emerge sono interessanti suggerimenti in tema di sicurezza, da parte di aziende che operano tutti i giorni per garantire la protezione dei dati.

Autore: F.M.

L'attacco ransomware WannaCry ha mostrato, ancora una volta, i limiti delle infrastrutture tecnologiche e dei processi aziendali in tema di sicurezza ma anche la poca attenzione da parte delle aziende nel procedere agli aggiornamenti dei sistemi operativi. Questo attacco, infatti, ha utilizzato il protocollo SMB (Server Message Block) per propagarsi all'interno delle reti aziendali e ha avuto vita facile grazie a sistemi operativi meno recenti come Windows 7 e/o Windows 8 che ci hanno messo del loro per la propagazione dell'attacco hacker che alla fine ha coinvolto oltre 150 Paesi.
Ricordiamo che SMB è un protocollo di rete utilizzato per condividere file tra computer e questo malware è efficace soprattutto negli ambienti che includono sistemi operativi Windows datati, perché è in grado di eseguire una scansione approfondita sulla porta TCP 445 (SMB, Server Message Block), compromettendo gli host, crittografando i file memorizzati al loro interno.

Per meglio inquadrare cosa vuol dire un attacco di tipo ransomware, ricordiamo che la maggior parte degli analisti di settore sono concordi nell'affermare che dai dati in loro possesso gli attacchi ransomware sono aumentati in modo considerevole al punto da essere la quinta tipologia di malware, e che questo tipo di attacchi ha lo scopo di estorcere parecchie somme di denaro. Per esempio alle aziende colpite da WannaCry si chiedeva 300 dollari come riscatto (e sebbene nessuna azienda pubblicamente ha ammesso di aver pagato, da parecchie parti si propende che, invece, parecchie aziende o singoli utenti hanno sborsato i "fatidici" 300 dollari).
In questo articolo abbiamo raccolto le analisi e i commenti di alcuni produttori di soluzioni per la sicurezza dei dati in merito all'attacco ransomware WannaCry. In queste sintesi emergono spunti interessanti, non solo in merito all'ultimo ransomware, ma anche ai comportamenti in tema di sicurezza aziendale.

Acronis
Mauro Papini, Country Manager, Acronis
WannaCry fa parte della categoria dei ransomware, ovvero particolari tipi di virus, che rende inaccessibili i file sul proprio computer. Sebbene tali software possano potenzialmente colpire ambienti eterogenei, tipicamente il sistema operativo più colpito è Windows.
In questo caso ha colpito in particolare sistemi meno recenti, come Windows 7 e 8. La cosa interessante di questo virus, è stata tuttavia la modalità di propagazione. Il virus si diffonde attraverso finte email, come quasi tutti del resto. Di solito però, l’approccio era del tipo uno ad uno, "una mail aperta, un utente infettato”. Per cui per infettare migliaia di Pc era necessario che migliaia di utenti cascassero nella trappola. In questo caso invece, dopo essersi installato su un computer, il virus cominciava da solo a infettare altri sistemi presenti sulla stessa rete, ed eventualmente anche visibili su internet.
La propagazione di massa è perciò avvenuta senza ulteriori interazioni da parte degli utenti. Questa è stata la vera novità del fenomeno.
Per potere raggiungere questo scopo, i creatori del virus hanno sfruttato una vulnerabilità di alcuni sistemi Windows. In particolare una falla nel protocollo SMB. Tipicamente si parla di sistemi di tipo client anteriori alla versione più recente. E parliamo comunque di milioni di macchine. Ovviamente sono sistemi che non sono stati aggiornati non solo nel sistema operativo, ma nemmeno a livello di sicurezza, poiché la vulnerabilità era nota e una patch risolutiva era già disponibile da marzo. Quanto è accaduto accadrà ancora, poiché la volontà criminale degli sviluppatori di tali programmi è giustificata dal profitto potenziale, e permangono le condizioni che ne favoriscono le aspettative.


Arbor Networks
Darren Anstee, Chief Technology Officer, Arbor Networks
Il fatto che Microsoft abbia rilasciato diverse patch per versioni di Windows non supportate illustra la scala di questo problema. L’installazione delle patch è il primo passo che tutte le organizzazioni dovrebbero compiere. Dopo le patch, occorre eseguire una corretta segmentazione della rete, una pratica sempre opportuna e caldamente consigliata in situazioni di questo tipo. La segmentazione della rete limita l’esposizione di Microsoft SMB non solo a livello esterno ma anche sulle reti interne. Numerose fonti fanno riferimento a un ricercatore di malware che ha involontariamente trovato il cosiddetto “kill switch”, una sorta di interruttore di spegnimento del malware. Va sottolineato che potrebbe anche essersi trattato di una tecnica di anti-reversing utilizzata dai responsabili dell’attacco visto che spesso i ricercatori di cybersicurezza risolvono automaticamente ciò che il malware sta cercando per tenerlo in funzione. A prescindere dall’intenzione dell’autore del malware o dal colpo di fortuna del ricercatore che ha registrato il dominio, nel momento in cui scriviamo, la raccomandazione da fare sarebbe di non bloccare quel dominio. In ogni caso, il “kill switch” non deve generare una falsa sensazione di sicurezza. È infatti estremamente probabile che venga rilasciata a breve una nuova variante molto più difficile da contrastare.
Prevediamo inoltre che i nodi Tor di WannaCry saranno oggetto di indagini approfondite da parte dei ricercatori di sicurezza informatica ma anche di attacchi di altri criminali che cercano di raggranellare qualche bitcoin. Questo evento ha evidenziato i problemi associati all’acquisto di infrastrutture informatiche nell’ambito di progetti o funzioni specifiche in assenza del budget o delle capacità necessarie per garantirne il costante aggiornamento. Man mano che apprendiamo nuovi dettagli sulla diffusione di WannaCry attraverso varie organizzazioni, emergono due concetti chiave. Innanzitutto, vediamo che il personale di un’organizzazione può costituire un anello debole dal punto di vista della sicurezza e quindi, anche a fronte della complessità raggiunta dalle odierne campagne di spear phishing, la formazione del personale in materia di link e allegati sospetti è ormai di fondamentale importanza. Secondariamente, la visibilità dell’attività della rete interna (chi parla con chi, quando e con che frequenza) permette di individuare precocemente le minacce e di impedirne la diffusione mediante la corretta segmentazione della rete.



Check Point Software
David Gubiani, Security Engineering Manager, Check Point Software 
Il malware WannaCry è un ransomware ovvero un codice malevolo che crypta tutti i file su un PC e chiede un riscatto per decifrarli e ripristinarli, in più si comporta anche come un Worm, ovvero cerca di propagarsi sia internamente che verso internet. Si è parlato tanto di cyberwar e quant’altro, ma la mia opinione è che si tratti di un attacco ben riuscito da parte di cybercriminali per trarne profitto.
L’attacco ha sfruttato la vulnerabilità Microsoft MS17-010 che è presente su tutte le piattaforme Microsoft non allineate con le ultime patch. Peraltro la patch era disponibile da marzo per le piattaforme ancora supportate da Microsoft e pochi giorni dopo l’attacco, la patch è stata reso disponibile anche per i vecchi sistemi operativi non più supportati, come XP.
Un attacco del genere ha dimostrato come tutti noi siamo vulnerabili e come la sicurezza non sia un problema di tecnologia, ma di come utilizzarla. Le aziende devono fondamentalmente dotarsi al più presto di sistemi in grado di ridurre al minimo i rischi quali IPS (Intrusion Prevention Systems) e soluzioni anti ransomware quali, per esempio, Check Point SandBlast Agent. Inoltre i dipendenti devono imparare a diventare più consapevoli ed evitare azioni scorrette che possono danneggiare sé stessi e l’azienda. Purtroppo vediamo ancora che la formazione non è parte di un processo sistematico, sarebbe di fondamentale importanza alzare il livello di awareness in azienda rispetto alle minacce ed all’utilizzo “intelligente e consapevole” dei mezzi informatici. Un livello di conoscenza più elevato aiuterebbe sicuramente l’azienda a ridurre notevolmente i rischi e creerebbe valore nel senso che la responsabilità (oggettiva e non legale ovviamente) in tema di sicurezza verrebbe così condivisa a tutti i soggetti dell’azienda e non solo ai team preposti, riducendo i rischi e i costi a fronte di un disastro informatico.


Eset
Luca Sambucci, Operations Manager, Eset Italia
L’attacco globale di Wannacry, che ha colpito parecchi paesi nel mondo, ha confermato quanto i ransomware siano una delle minacce informatiche più pericolose degli ultimi anni.
Queste minacce sono diventate un metodo estremamente diffuso con cui gli autori di malware tentano di estorcere denaro agli utenti e si diffondono usando diverse tecniche, come il phishing o come in questo caso sfruttando le vulnerabilità dei sistemi operativi. Per evitare o minimizzare gli effetti di Wannacry
- e del prossimo attacco che sfrutterà vulnerabilità già note - è fondamentale perseguire una buona gestione degli aggiornamenti di sicurezza e una revisione delle policy per gli utenti, nonché verifiche ricorrenti per assicurarsi che siano applicate. Anche l'uso di un sistema di sicurezza proattivo riesce minimizzare i danni. Per fare un esempio, il modulo per la protezione della rete di Eset (Eset Network Protection) bloccava i tentativi di sfruttare queste vulnerabilità ben prima che questo particolare malware iniziasse la sua diffusione.


FireEye
Marco Rottigni, Consulting System Engineer, FireEye
L'attacco ransomware WannaCry ha colpito le organizzazioni a livello mondiale a partire dal 12 maggio. Questo attacco, nello specifico, ha messo in evidenza la necessità di un approccio Intelligence Led Security e in particolare di un approccio Intelligence Led Patching in quanto l’exploit, seppur conosciuto, è stato decisamente sotto stimato da molti amministratori IT.
Tutte queste campagne di hacking hanno un denominatore comune: sfruttano la debolezza della catena di sicurezza, cioè il fattore umano. Non importa quanto potente e solida sia l'infrastruttura di sicurezza, le violazioni sono comunque inevitabili.
Le aziende dovrebbero concentrarsi su priorizzare correttamente gli allarmi, aumentare la visibilità, i dettagli e il contesto degli eventi rilevanti di security sulla rete e sugli endpoint. Dovrebbero inoltre aumentare le proprie capacità e la velocità di risposta per isolare, contenere e estromettere l'attaccante; riducendo al minimo l'intervallo di tempo dalla compromissione iniziale alla scoperta di essere compromessi (dwell time) e quindi i rischi di perdere i dati, siano essi crittografati o meno. Le migliori contromisure combinano una grande visibilità con dipendenti adeguatamente preparati, che comprendono i rischi legati al lavoro quotidiano con strumenti informatici generalmente vulnerabili.


Fortinet
Antonio Madoglio, SE Manager, Fortinet
Il modo in cui WannaCry ha agito non è particolarmente diverso rispetto a quanto avvenuto con altri malware in passato. Ancora una volta sono stati utilizzati allegati di posta e link malevoli. Ciò che ha fatto davvero scalpore è la scala dell’attacco, che ha colpito oltre 250.000 computer in oltre 150 paesi. L’attacco ha sfruttato alcune vulnerabilità critiche che la stessa Microsoft aveva evidenziato qualche mese fa e per cui erano state fornite patch specifiche.
Come spesso accade però, numerosi sistemi non sono stati aggiornati e sono stati oggetto di questo attacco specifico. Se è fisiologico che i sistemi complessi presentino delle vulnerabilità, ai vendor spetta il compito di identificarle sul campo prima che vengano sfruttate da potenziali hacker, mentre i clienti hanno l’onere di mantenere i loro sistemi allo stato dell’arte.
Come evitare di cadere vittima di attacchi del genere? La prima indicazione è quella di aggiornare regolarmente i propri sistemi con l’applicazione delle patch di sicurezza via via richieste, e non solo le soluzioni specifiche di security ma tutti i sistemi di produzione di un’azienda. Fatto questo, serve disporre di un sistema di sicurezza esteso, in grado di considerare l’infrastruttura aziendale nel suo complesso, identificando e correlando tra loro ogni possibile anomalia, e fornendo ai responsabili informazioni in tempo reale – ma anche storiche ed aggregate – su quello che sta succedendo nella rete.
Il Fortinet Security Fabric permette di tenere sotto controllo tutti gli aspetti differenti di una rete aziendale, evidenziando ogni possibile anomalia e permettendo in ogni momento un intervento correttivo.



ForcePoint
Luca Mariani, Sales Engineer, ForcePoint

WannaCry è uno dei contagi di malware più significativi che il mondo abbia visto negli ultimi anni. Imprese ed enti dovrebbero considerare un approccio di security Human-centric che protegga dipendenti, dati aziendali critici e proprietà intellettuale perchè non diventino degli obiettivi. Dall'inizio della campagna WannaCry, i clienti Forcepoint sono stati protetti - immediatamente dal nostro NGFW e subito dopo anche attraverso il nostro portafoglio di soluzioni core.
La miglior difesa inizia quando si comprende che ransomware e altre minacce malware hanno lo scopo di manipolare o di emulare il comportamento degli utenti, attraverso qualsiasi fonte di tecnologia. L’IT e il team di security dovranno assicurarsi di mantenere sempre aggiornati tutti i patch software lungo tutta l'infrastruttura ed in particolare i patch di Microsoft MS17-010. E’ importante che essi sviluppino inoltre una strategia che preveda l’osservazione dei rischi e dei comportamenti, un programma di education, formazione e sensibilizzazione e che attivino difese multi-layers di prodotti di sicurezza informatica che proteggano contro l'intero ciclo di vita delle minacce.


G Data
Giulio Vada, Country Manager Italia, G Data
Ospedali non più in grado di gestire pazienti e pronto soccorso, parcheggi pubblici in tilt, linee di produzione bloccate. Queste sono solo alcune delle conseguenze di WannaCry, rivelatosi scarsamente redditizio per i suoi creatori ma altamente dannoso per le infrastrutture informatiche oggi alla base dell’economia mondiale. WannaCry ha mostrato per l’ennesima volta quanto sia importante considerare la sicurezza IT e l’investimento in formazione degli addetti alla stregua di altre misure per la mitigazione dei rischi aziendali ritenute erroneamente prioritarie. Basti pensare che il malware si è avvalso della posta elettronica come canale di diffusione primario, trovando nell’inconsapevolezza degli utenti un vettore di infezione ideale: un errore i cui effetti sarebbero stati peraltro limitati, se le aziende colpite fossero state dotate di un’accorta politica di patching e di soluzioni per endpoint in grado di bloccare a priori comportamenti anomali come la cifratura illegittima dei dati.


SonicWall
Florian Malecki, International Product Marketing Director, SonicWall

Il ransomware utilizzato nell’attacco Wannacry ha sfruttato un exploit chiamato EternalBlue sviluppato dall’NSA e diffuso dagli Shadow Brokers. Secondo il SonicWall Annual Threat Report, i tentativi di attacchi ransomware sono passati dai 3,8 milioni del 2014 alla sbalorditiva cifra di 638 milioni nel 2016, con una crescita del 167% anno su anno. Sebbene per questi exploit siano disponibili patch e signature, si presta poca attenzione all’aggiornamento dei sistemi di sicurezza, specialmente quelli tradizionali – peraltro molto diffusi in organizzazioni come ospedali e scuole – aumentando così il rischio di vulnerabilità. Dato che gli Shadow Brokers hanno già rilasciato diverse varianti di questo attacco, è fondamentale assicurarsi di aggiornare i sistemi con le patch e signature più recenti. Al fine di garantire la sicurezza delle aziende in caso di nuovi attacchi, SonicWall raccomanda di utilizzare la patch di Windows rilasciata da Microsoft, dotarsi di una sandbox multi-engine per potere esaminare i file sospetti in ingresso nella rete, fermare le minacce più recenti e proteggersi contro futuri breach. Occorre infine assicurarsi che il proprio next-generation firewall possa accedere ad aggiornamenti automatici delle signature per individuare attacchi ransomware tipo WannaCry per i quali non è sufficiente il semplice rilevamento del worm in quanto quest’ultimo si propaga internamente quando il sistema viene infettato.


Stormshield
Alberto Brera, Country Manager Italia, Stormshield
La percezione del rischio informatico e l’abilità delle aziende di contrastarlo non sono cambiati rispetto a dieci anni fa, quando ad imperversare era il worm Conficker abusando di servizi di rete legittimi come oggi WannaCry. Al contrario è evidente che infrastrutture e sicurezza IT nelle aziende non seguono di pari passo l’evoluzione della tecnologia ma ne siano succubi, se anche solo patchare tempestivamente i sistemi risulta oneroso.
Ora che interconnessione dei sistemi, remotizzazione dei processi e delle applicazioni, “smartizzazione” risultano determinanti per il successo di qualsiasi azienda, il pernicioso gap di competenze digitali è terreno fertile per i cybercriminali. Risulta quindi quanto mai essenziale avvalersi di consulenti specializzati e di strumenti che proteggono in tempo reale efficacemente la propria infrastruttura contro minacce zero-day, minimizzando nel contempo le vulnerabilità intrinseche di perimetro e sistemi.



WatchGuard
Fabrizio Croce, Area Director South Europe, WatchGuard
Anche per Wannacry, come per tutti i ransomware, si tratta di attacchi di tipo Apt (Advanced Persistent Threat) che includono tecniche di evasione e di mascheramento e che rendono molto difficile se non impossibile la loro identificazione da parte dei classici antivirus basati su database di firme. Solo l’utilizzo di sistemi di sicurezza stratificata come i firewall di nuovissima generazione con tecnologie sandbox consentono di innalzare il livello di sicurezza a livelli molto più accettabili. Fino a poco tempo fa queste tecnologie erano ad appannaggio solo dell’enterprise, visti i costi, ma ora sono alla portata anche delle piccole aziende, che è di certo l’anello più debole e facilmente attaccabile dai ransomware.
L’opinione degli esperti è che da molto tempo si era a conoscenza della specifica vulnerabilità di Windows nei protocolli SMB e RPC: nel momento in cui Microsoft ha rilasciato la patch di sicurezza, l’efficacia del malware che la sfruttava andava progressivamente a diminuire, quindi questo attacco è stato lanciato prima che molti sistemi fossero immunizzati. Chi può essere stato? Escluderei organismi di intelligence o cyberware. I primi perché lavorano nell’ombra e utilizzano queste falle di sicurezza per attacchi mirati e avanzati verso una infrastruttura critica nel modo più silente possibile, di certo non andrebbero a chiedere un riscatto di 300 dollari; scarterei anche la cyberware visto che a quanto pare la diffusione è omogenea, non esiste una nazione non colpita. Semplicemente, è quindi molto più probabile che si tratti delle classiche organizzazioni CyberCriminali che utilizzano questi malware per uno scopo molto semplice: fare soldi.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.