XQuesto sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie. Accetto

Il blog ufficiale Darnet

Attacchi ramsonware "Wanna Cry"

In questi giorni è iniziato un attacco worm/ramsonware senza precedenti, che ha colpito diversi sistemi a livello mondiale, con segnalazioni di 99 Paesi colpiti e oltre 200.000 macchine infettate, fra cui università, ospedali, grandi aziende (es. Renault).

Il responsabile di questi attacchi è un software denominato "Wanna Cry".

Un utente riceve la classica mail di phishing, contenente un allegato zip che pare innocuo. L'allegato può essere ricevuto anche in presenza di sistemi antivirus legati alla posta, se le definizioni (database con indicazione di tutti i virus in circolazione) non sono state adeguatamente aggiornate.

Involontariamente lo apre e infetta la propria macchina. A quel punto il virus si preoccupa di cercare in rete altre macchine Windows non aggiornate, che non siano protette da una vulnerabilità evidenziata da Microsoft il 14 marzo scorso denominata MS17-010, accessibile tramite questo link.

Tale vulnerabilità riguarda la possibilità di esecuzione codice remoto su un sistema Windows tramite protocollo SMB 1.0.

Vista la particolarità e criticità di questa problematica, Microsoft ha rilasciato aggiornamenti anche su sistemi XP e Server2003 (non più supportati dal produttore).

Parallelamente inizia la cifratura dei file in rete, e al termine dell'attività chiede "un riscatto" di 300 $ (ora portato a 600$), da pagarsi tramite bitcoin.

0a7da9f4ca7b0fbbbe419db6a4a61416

L'attacco sembra sia stato solo rallentato con un escamotage, ma non bisogna illudersi e considerare risolta la problematica; presumibilmente nel giro di alcuni giorni avremo una nuova versione del virus che non subirà tale rallentamento.

Le modalità di protezione sono le seguenti, comuni a molte altre problematiche di security aziendale:

  • mantenere sempre aggiornati i sistemi server
  • attivare e manutenere i sistemi di filtering della posta (antispam, antivirus, antiphishing) e in generale del traffico di rete
  • formare gli utenti sul corretto utilizzo dei client di posta e sulle attenzioni da porre prima di aprire un allegato
  • bloccare tutti i servizi non utilizzati, relativi a protocollo SMB nello specifico ma in generale a qualunque servizio esposto non necessario e/o non adeguatamente protetto.
  • monitorare i sistemi per evidenziare comportamenti anomali (es. macchina che effettua eccessivo traffico di rete e/o che accede a un numero di file superiore alla norma)

La CERT-PA ha erogato un documento di linee guida, accessibile qui

15 Maggio 2017

Darnet UK ltd
sede legale:
152 City Road
EC1V 2NX London (UK)

tel +44(0)20 36 08 64 50
mail: info@darnetltd.co.uk
twitter: @DarnetInfo

Company Number: 08497464

Darnet Servizi srls
sede legale:
via Vittorio Cadel 9
33100 Udine (UD)
sede operativa:
via Galileo Galilei 9
33010 Tavagnacco (UD)

tel +39(0)432 18 45 760
mail: info@darnet.it

CF/PI: 02816690305

Commento inviato

Il nostro staff valuterà il commento e lo renderà pubblico il prima possibile
© Made in Web Industry