Centinaia di migliaia di computer si sono dovuti confrontare con una schermata rossa che domandava a lettere cubitali il pagamento fino a 600$ in bitcoin per sbloccare i contenuti del pc. Si è trattato, come sappiamo, di WannaCry, che in 4 giorni ha colpito 200.000 computer in 150 Paesi.
I danni veri e propri di questo attacco rimangono ancora da chiarire. Senza dubbio, è stato messo in luce quanto la sicurezza informatica sia un argomento preso con troppa sufficienza dalle aziende. Se i criminali dietro al ransomware hanno raccimolato più o meno 70.000$, secondo le stime più ottimistiche, la spesa per ripulire i pc e i sistemi infettati, ammonta a 10 miliardi di dollari.
Per di più aleggia la paura di un secondo attacco, forse ancora più distruttivo.
“Il comportamento di WannaCry simile a quello di un worm e la sua abilità nel propagarsi facilmente nelle aziende, rendono questa forma di ransomware molto pericolosa” ha affermato Ed Stroz, Co-presidente di Stroz Friedberg, parte del gruppo Aon Company. “Il malware si diffonde dal computer infetto facendo una scansione degli altri computer e sistemi sulla rete e su internet, infettando le macchine connesse sfruttando la medesima vulnerabilità, tutto senza alcuna azione dell’utente. In sostanza, basta che un solo utente sulla rete venga infettato per mettere a rischio l’intera azienda”
Come quest’attacco ha dimostrato, il costo di un ransomware va ben oltre il pagamento di un riscatto per avere indietro i file. Ha colpito aziende private e pubbliche. Molti esperti mettono in guardia dal pagare i riscatti, visto che non ci sono garanzie di successo e che, nel migliore dei casi, si diventerebbe l’oca dalle uova d’oro dei ricattatori.
La migliore strategia mette al primo posto la prevenzione. Per essere preparati al prossimo attacco puntiamo l’attenzione su questi punti.
Patch sotto controllo
WannaCry non è venuto fuori dal nulla. Ha sfruttato una vulnerabilità conosciuta di Microsoft, per la quale era stata rilasciata una patch un paio di mesi prima.
Su Wikipedia leggiamo:
WannaCry sfrutta una vulnerabilità di SMB, tramite un exploit chiamato EternalBlue e sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.
Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet, che vengono infettati senza alcun intervento dell’utente. Quando infetta un computer, WannaCry cripta i file bloccandone l’accesso e aggiunge l’estensione .WCRY; impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l’utente deve pagare in bitcoin per avere lo sblocco dei file.
EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)”. Tuttavia molti computer non sono mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò vulnerabili al virus.
Da questo deduciamo che PACTH! deve diventare un mantra della sicurezza. Una così rapida diffusione di WannaCry è stata possibile grazie alla presenza di sistemi operativi non aggiornati. Microsoft ha rilasciato una nuova emergenza patch per Windows XP e 2003, che parrebbe essere molto seria.
Sophos invita a stare sempre all’erta: quando vengono rilasciate nuove patch, non prendiamole sotto gamba ma applichiamole subito, specialmente se rilasciate da Microsoft. Se possibile, sarebbe anche opportuno rimpiazzare i più vecchi sistemi Windows con le versioni più recenti.
Formazione
Secondo recenti statistiche, l’83% degli attacchi ransomware ha origine da un click su link malevoli da parte di personale inesperto o impreparato, che apre allegati infetti o visita siti compromessi: investire sulla formazione per proteggersi contro phishing e malware dovrebbe essere una priorità.
Non ripeteremo mai abbastanza quanta attenzione bisogna avere prima di aprire un allegato insolito. I truffatori contano sull’incertezza che nasce dal non voler aprire un documento fino a che non si sia sicuri che si tratti di un documento che interessa, ma non si può saperlo fino a che non si è aperto.
Vale la regola: se non si è certi, non apriamolo.
“Only the paranoid survive”
È una frase di Andrew Grove, pioniere dell’Information Technology e fondatore di Intel, e probabilmente uno dei motti migliori per l’era dei computer.
Più una persona è cauta è maggiori saranno le probabilità che non diventi vittima di cyber criminali. Basta seguire pochi passi, come l’installazione di un buon antivirus, l’aggiornamento costante di software, non cliccare su link strani, non dare mai in giro le password e non scaricare allegati da mittenti sconosciuti.
Nessuna facile risposta
WannaCry è solo l’ultimo di una naturale evoluzione di una lunga lista di precursori ransomware. Ha avuto successo grazie ad una combinazione data dall’ineguatezza dei reparti IT, la riluttanza degli stessi verso il cambiamento e soprattutto dalla natura umana. Avarizia e miopia in cima alla lista. Succederà di nuovo e sarà in un futuro molto prossimo: non affossiamo noi e la nostra azienda con le false convinzioni “tanto non capiterà a me” ma cerchiamo di imparare dagli errori degli altri.
Se anche voi, come molti altri, non siete fra quelli che sono stati colpiti da WannaCry, consideratelo come una campanello d’allarme: questo non sarà certo l’ultimo cyber-attacco massivo e, mentre non ci sono modi di garantire la sicurezza al 100%, ce ne sono molti per minimizzare i rischi per voi, la vostra azienda e i vostri contatti.
