CyberwarSicurezza

WannaCry, cosa dicono gli esperti. Le indicazioni della Polizia di Stato

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

L’attacco WannaCry sarà ricordato come una delle occasioni perse per aprire gli occhi sulla fragilità di un certo modo di sviluppare IT e smettere di far finta di nulla. Se il GDPR avesse prodotto le sanzioni previste, già oggi, cosa sarebbe accaduto?

Il ransomware WannaCry è stato riconosciuto per la prima volta a febbraio e poi è stato intercettato nella sua variante minore Ransom_WCRY.C , come malware veicolato tramite phishing che portava a scaricare un file infetto da Dropbox. Ad aprile ne sono venuti a conoscenza altri vendor, ma se ne era sottovalutata la sua pericolosità anche per gli scarsi effetti e infatti non è questa la variante per cui sarà ricordato l’attacco di questi giorni.

L’attacco di cui si parla questi giorni è relativo invece alla variante WCRY.A che ha aggiunto l’exploy per EternalBlue o MS17-10. Si parla di 75mila computer, in 99 Paesi, finiti con i dati cryptati. L’inquietudine per la versione 2.0 di WannaCry è legata al fatto che WanaCrypt0r (altro nome della variante) non solo è un ransomware ma rientra nella categoria dei worm , quindi con alte potenzialità di replica. Ne sarebbero untori gli strumenti hacker dell’NSA rilasciati dal gruppo Shadow Brokers circa un mese fa.

Contrariamente all’eco che WannaCry ha ottenuto anche sulla stampa nazionale, questo ransomware in Italia al momento ha fatto danni davvero molto limitati. Ne sono stati vittime soprattutto gli ospedali britannici e una buon numero di aziende russe, turche, indonesiane, vietnamite, giapponesi, spagnole e tedesche. Tra l’altro in Spagna si parla di infezioni importanti anche in aziende come Telefonica e Santander.  

Microsoft ha già rilasciato la patch per le versioni non supportate di Windows (Windows Xp, Windows 8 e Windows Server 2003) che dovrebbero risolvere e mitigare la criticità. Tuttavia proprio queste prime informazioni sollecitano tre considerazioni.

  1. WannaCry è un ottimo esempio di come il cybercrime per le nuove infezioni proceda in tanti casi con una prova di lancio, e sia poi in grado di aggiustare la mira e perfezionare l’arma per poi sferrare in un secondo momento un attacco molto più pericoloso.
  2. E’ davvero pratica troppo rischiosa quella di non aggiornare i sistemi informatici (richiamo alle aziende e agli utenti).
  3. Se è pratica rischiosa non aggiornare, sarebbe però auspicabile anche maggior attenzione da parte dei vendor nello sviluppo del codice scritto, eventualmente valutando anche di normare l’obbligo per periodi più lunghi del supporto a sistemi operativi che per i vendor possono essere anche desueti ma che in ogni caso sono ancora largamente utilizzati.
WanaCript_Encryption - Come funziona secondo la documentazione di BitDefender
WanaCript_Encryption – Come funziona secondo la documentazione di BitDefender (fare clic sull’immagine per renderla leggibile)

I vendor, infatti, concordano tutti sul fatto che il primo passaggio per proteggersi da queste vulnerabilità siano azioni decise di patch management, e soprattutto in tempi rapidi. Soprattutto evidenziano come WannaCry possa rappresentare un buon esempio di cosa ci si possa aspettare in futuro.

Quando facciamo riferimento al punto 3 delle nostre osservazioni, intendiamo proprio prevedere anche una maggiore attenzione da parte del legislatore, o più sensibilità nella tutela della sicurezza tout court, ma anche a vantaggio dei consumatori.

Uno scenario in cui si aggiornano le release, portando per mano i clienti a  passare alla versione successiva – ma accorciando i tempi di supporto – non ci sembra una via percorribile. E’ indispensabile invece garantire alta qualità del codice sin dalla prima versione, e supporto comunque di update e patch obbligatorie per sempre fino a quando l’installato complessivo ‘scoperto’ è ancora superiore a una percentuale di soglia, fissata da chi può regolamentare.

Nel caso specifico Microsoft ha offerto la patch più che per tempo sulla seconda variante di WannaCry (il 14 marzo), anche per i sistemi non più supportati, in uno dei suoi Patch Tuesday ma questa patch non è stata applicata da tutti tempestivamente, il 9 Maggio è poi stato reso disponibile l’aggiornamento del sistema operativo tramite Windows Update.

Sempre in questo caso è giusto che la responsabilità ricada sulle aziende che non ne hanno fatto il deployment per tempo. In futuro però quale norma garantirebbe lo sviluppo delle patch anche per i sistemi obsoleti se essi fossero comunque ancora al lavoro, sulla base di una licenza che comunque non è scaduta e pertanto è legittima?  A questo poi vogliamo aggiungere un ulteriore quesito.

Con il GDPR in vigore con tutti i suoi effetti, in casi come questi di chi sarebbe la responsabilità finale di fronte all’utente cui potrebbe mancare un servizio perché i suoi dati sono sotto scacco o semplicemente sono finiti nelle mani degli hacker?

Sarebbe interessante anche solo proporre un modello concreto evidenziando tutta la serie di attività/obblighi per un’azienda che fosse rimasta vittima di WannaCry, nei confronti di tutti gli altri attori, proprio come esempio concreto di quali benefici concreti/problematiche comporta il nuovo regolamento. Purtroppo pensiamo invece che all’alba del 25 maggio 2018, dopo un attacco di questo tipo ci sarà solo il terrore di non essere ancora a posto, di non sapere bene cosa fare, con la potente tentazione di scaricare la responsabilità su qualcun altro.

Le indicazioni della Polizia di Stato

Come si comporta il malware

1) Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail
vettore dell’infezione).
2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug
EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema
C:\windows.
3) Si installa quindi come servizio e procede ad eseguire due attività parallele
utilizzando diversi eseguibili.
4) La prima attività consiste nel cifrare determinate tipologie di file come da link;
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.
5) La seconda provvede a propagare il malware sulla eventuale LAN presente
sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139.
Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi
target da infettare via SMB porta 445.
6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti
con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor
DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di
diffusione sulla rete. Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0, ovvero al riavvio delle macchine per la giornata di
domani, inizio della settimana lavorativ

COSA FARE

Lato client/server
1. eseguire l’aggiornamento della protezione per sistemi Microsoft Windows
pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017
2. aggiornare il software antivirus
3. disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block
(SMB) e Remote Desktop Protocol (RDP)
4 il ransomware si propaga anche tramite phishing pertanto non aprire
link/allegati provenienti da email sospette
5. il ransomware attacca sia share di rete che backup su cloud quindi per chi non
l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili
isolati
Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al
rilevamento delle intrusioni (IPS/IDS)
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su
protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP)