Diffuso un vademecum per aiutare gli utenti alle prese con il malware che ha colpito decine di Paesi nel mondo
ROMA – Il grande attacco hacker che, in questi giorni ha colpito, attraverso un ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r, i pc di oltre cento Paesi, deve essere considerato un “campanello d’allarme” dai governi del pianeta. In Italia i danni sono stati di minore entità rispetto ad altri Paesi, ma la Polizia postale è ancora in allerta per l’attacco hacker a livello globale compiuto attraverso il ransomware.
In questi giorni, in molti si chiedono come è possibile difendersi da un attacco hacker di questo tipo. Sul proprio sito istituzionale (www.poliziadistato.it) la Polizia di Stato ha pubbicato allora un vademecum con informazioni e consigli utili per contenere i rischi ed evitare gli effetti ai sistemi informatici.
La Polizia Postale e delle Comunicazioni e in particolar modo il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche (Cnaipic) spiega nel documento come riconoscere e decifrare il malware, come prevenire l’attacco e quali comportamenti adottare per evitare perdita di dati o danni a sistemi e reti.
Oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in casodi cifratura da parte di WannaCry, la Polizia postale consiglia le seguenti procedure precise per difendersi dall’attacco hacker:
Lato client/server:
- eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017;
- aggiornare il software antivirus;
- disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
- il ransomware attacca sia share di rete che backup su cloud quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati;
Lato sicurezza perimetrale:
- eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (IPS/IDS);
- ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
La lista degli indicatori è reperibile sul sito www.commissariatodips.it.
Finora, come spiega ancora la Polizia di Stato, i comportamenti rilevati sono i seguenti:
- le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione);
- il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows;
- si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili;
- la prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168;
- la seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445;
- funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.
“Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di WannaCry 2.0, ovvero al riavvio delle macchine nei prossimi giorni” conclude la Polizia di Stato.