Wannacry e lo spettro che arriva dal passato

Sicurezza
Ransomware, aumentano gli attacchi alle aziende

Secondo alcune fonti potrebbero esserci delle similitudini nei codici del ransomware Wannacry e altri ransomware usati nel passato da hacker professionisti. Secondo il blog Securelist si fa cenno al Lazarus Group e all’attacco alla banca del Bangladesh

E se Wannacry non fosse una novità? E se parti del codice del ransomware, ora più famoso al mondo, fossero già note in passato tanto da essere inserite in un ransomware che il Lazarus Group aveva utilizzato per sferrare un attacco contro la banca del Bangladesh, estorcendo denaro nell’operazione che andava sotto il nome di ‘Sony Wiper attack’? I fatti sono tutti risalenti tra il 2015 e il febbraio 2017, spiega il blog Securelist.com di Kaspersky, dal quale si evince che il gruppo Lazarus era già operativo dal 2011.

Lunedì 15 maggio un ricercatore di sicurezza di Google ha pubblicato un artefatto su Twitter che indicava una potenziale connessione tra gli attacchi ransomware di Wannacry. Il ricercatore di Google ha indicato un campione malware di Wannacry che è apparso a febbraio 2017, due mesi prima della recente ondata di attacchi. I ricercatori del GReAT team di Kaspersky Lab hanno analizzato queste informazioni identificando e confermando le similitudini tra il codice del campione di malware evidenziato dal ricercatore di Google e i campioni utilizzati dal gruppo Lazarus negli attacchi del 2015.

Secondo i ricercatori di Kaspersky Lab, la somiglianza potrebbe essere ovviamente un’operazione “false flag”. Tuttavia, l’analisi del campione di febbraio e il confronto con i campioni di WannaCry utilizzati negli attacchi recenti dimostra che il codice che porta al gruppo Lazarus è stato rimosso dal malware WannaCry utilizzato negli attacchi avviati venerdì scorso. Questo può essere un tentativo ad opera degli “orchestratori” della campagna WannaCry di coprire le tracce.

Sebbene questa similitudine non consenta di dimostrare una forte connessione tra il ransomware di WannaCry e il gruppo Lazarus, può comunque portare a nuovi sviluppi che farebbero luce sull’origine di WannaCry, informazione che al momento rimane un mistero.

Insomma, dietro a queste logiche c’è un ransomware che, nel mondo, ha e sta facendo ancora preoccupare, dall’attacco di venerdì scorso. I vendor della sicurezza dicono la loro. Dalla sua scoperta venerdì 12 maggio, l’attacco Ransomware Wannacry ha continuato a diffondersi. Secondo le autorità europee, ha colpito oltre 10mila organizzazioni e 200mila persone in oltre 150 paesi. Anche se sono stati intrapresi dei passi per rallentare la diffusione di questo malware, nuove varianti si stanno esponendo.

Ransomware, aumentano gli attacchi alle aziende

Jonathan Care, direttore di ricerca di Gartner, ha descritto i passi che i professionisti della cyberecurity devono prendere immediatamente. Innanzitutto, applicare la patch Microsoft MS17-010. Se non lo si dispone e la porta TCP 445 è aperta, il sistema verrà colpito da ransomware. Mentre si è tentato di puntare il dito contro gli altri, una delle tappe fondamentali della risposta implica la messa a fuoco sulle cause. Microsoft Windows XP, sistema operativo che è stato colpito da Wannacry, può essere incorporato nei sistemi chiave come parte dei pacchetti di controllo. Ciò significa che il firmware vulnerabile non può essere né accessibile né sotto il proprio controllo. Dove si dispongono di sistemi embedded, come i terminali di vendita di punti vendita, apparecchiature medicali di imaging, sistemi di telecomunicazione e anche sistemi di produzione industriale come la personalizzazione delle smart card e le attrezzature per la produzione di documenti, bisogna assicurare che il fornitore possa offrire un percorso di aggiornamento come priorità. Lo stesso anche se si utilizzano sistemi come Linux o altre varianti Unix.

In seconda battuta, isolare i sistemi vulnerabili. Ci saranno sistemi che, anche se non ancora colpiti da malware, sono ancora vulnerabili. È importante rendersi conto che i sistemi vulnerabili sono spesso quelli su cui ci concentriamo di più. Una correzione temporanea è limitare la connettività di rete, identificare quali servizi è possibile disattivare, in particolare i servizi vulnerabili come la condivisione di file di rete.

Restare vigili. Assicurarsi che il rilevamento del malware venga aggiornato. Controllare che i sistemi di rilevamento delle intrusioni siano in funzione e che esaminino il traffico. Assicurarsi che i sistemi di analisi del comportamento degli utenti e dell’entità (UEBA), l’analisi del traffico di rete (NTA) e le informazioni sulla sicurezza e la gestione degli eventi (SIEM) stanno segnando un comportamento insolito, che tali problemi siano in corso di valutazione e che i gestori degli incidenti siano sensibili. Si tenga presente che potrebbero essere necessarie risorse aggiuntive per gestire il volume degli incidenti, mettere in collegamento con le forze dell’ordine e le domande sul campo dal pubblico (e forse dai media). Mantenere il personale tecnico concentrato sulla risoluzione dei problemi fondamentali e lasciare che qualcun altro risponda a domande esterne.

Dopo la crisi, ci sarà il momento di imparare la lezione. A questo punto le società dovrebbero riesaminare i piani di gestione delle vulnerabilità; Riesaminare approcci non solo di misure di protezione ma anche di capacità di rilevazione chiave, come UEBA, NTA e avanzate SIEM; considerare con attenzione quali rischi sono tollerabili ed è altrettanto importante valutare la sicurezza del cloud.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore