Mezzo mondo è ostaggio di un manipolo di cyber criminali (per cortesia non usiamo il termine hacker) che, sfruttando uno dei tanti codici fuoriusciti nei leak della Cia e della Nsa americane, ha messo a punto una variante di Ransomware chiamata “WannaCry”.
Si direbbe “nomen omen”, perché “WannaCry” significa proprio “voglio piangere” e questo stanno probabilmente facendo molti amministratori di sistema di ospedali ed enti pubblici che sono i più esposti a questo tipo di attacchi, per la gestione centralizzata del patching, che tipicamente è sempre più lenta che in un semplice pc Windows connesso a Internet con attivati gli aggiornamenti automatici. Il colpo è grosso, ma è importante non pagare, come insegna la storia dei rapimenti, perché se si paga il fenomeno si moltiplica.
Come si può sopravvivere al flagello informatico che in queste ore sta imperversando su tutti i continenti?
Come funziona il codice malevolo
Questo ransomware, che ricordiamo è un codice malevolo che cripta in modo silente i file presenti nei computer, probabilmente utilizza come vettore di attacco la solita mail di phishing ma poi, ed è qui la differenza sostanziale, si diffonde all’interno della rete aziendale come un worm.
I worm sono dei virus che sfruttando delle vulnerabilità in servizi di rete esposti dai PC, riescono ad infettare il malcapitato senza che questi debba fare alcuna azione. La vulnerabilità dei sistemi Windows che sfrutta “wannacry” è stata già “patchata” da Microsoft che, da un paio di mesi, mette a disposizione tale aggiornamento per i pc, ma evidentemente sia gli amministratori di sistema aziendali che le persone “normali” sono ancora troppo poco reattive rispetto a patch così importanti, lasciando di fatto i loro pc ed i loro dati esposti ad attacchi di questo tipo. Quindi massima diffusione, massimo impatto, massimo danno, massimo guadagno.
Come difendersi
Una volta infettati purtroppo l’unico vero rimedio, se non si vuole pagare, è quello di ripristinare il pc mediante una copia di backup. Ammesso che se ne abbiano a disposizione.
Se ancora, fortunatamente, non siete stati infettati, corrette sul sito Microsoft ed installate la patch: Microsoft Security Bulletin MS17-010 – Critical – Security Update for Microsoft Windows SMB Server (4013389). Se non sapete come districarvi nelle patch sul sito, basta fare un “Windows Update” digitando appunto queste due parole nella barra in basso a sinistra nel desktop di Windows e ricercando e installando gli aggiornamenti di sicurezza a disposizione.
Per gli amministratori di sistema, invece, non serve il nostro piccolo vademecum, se non un consiglio: aumentate la frequenza nel patching e nel backup aziendale e cominciate seriamente a valutare un prodotto antiransomware. Tutti i grossi vendor di antivirus si stanno attrezzando ma ci sono anche ottime soluzione free.
Ci si può difendere dai ransomware in modo preventivo
Esistono dei prodotti che compiono la cosiddetta “analisi comportamentale” (behavioral analysis) analizzando il comportamento dei software in esecuzione sul pc, cercando di capire se tali software utilizzando tecniche, algoritmi e API di criptazione, ovvero con molta probabilità dei ransomware.
Vi consigliamo “RansomFree” di CybearReason che è gratuito e blocca WannaCry (qui il link della loro dimostrazione). Qualche file potrebbe essere criptato, ma dopo poco l’analizzatore comportamentale individuerà il ransomware bloccandolo. Altrimenti anche Kaspersky mette a diposizione un prodotto antiransomware.
Dal punto di vista dei Governi questo attacco rappresenta un grosso problema. Prima di tutto perché i Leak di software di intercettazione delle varie Agenzie o di Contractor, consente ai Cyber criminali di integrare questi software nei loro ransomware e di farci vere e proprie “palate” di soldi. In secondo ordine, i governi devono decidersi nell’affrontare il problema dei ransomware cominciando una massiccia campagna di indagine per scovare i centri criminali che conducono campagne di attacco come questa e sanzionare i criminali con pene esemplari.
Comunque, tornando a noi: fate subito Windows Update sul vostro PC e installare un prodotto anti-ransomware, magari free.
