Wannacry mette in ginocchio Paesi e Pc. E’ allarme

CyberwarSicurezzaSoluzioni per la sicurezza
Ransomware, aumentano gli attacchi alle aziende

Un attacco informatico di portata mondiale ad opera del ransomware Wannacry ha coinvolto almeno 11 paesi tra cui l’Italia, ma non massicciamente, solo un paio di università. Per difendersi si consiglia l’installazione della patch Microsoft MS 17-010

Un attacco informatico di portata mondiale blocca decine di migliaia di computer. In Europa la zona più calda pare essere la Gran Bretagna, con varie strutture del Servizio sanitario nazionale (Nhs) colpite su larga scala. Secondo l’Adnkronos, problemi in particolare per gli ospedali di Londra, Blackburn, Nottingham, Cumbria e Hertfordshire. Come riporta la Bbc, a provocare il blocco dei sistemi telefonici e informatici è stato un tipo di ransomware Wannacry, che ha costretto le autorità sanitarie a sospendere diversi servizi.

La Bbc riferisce che azioni analoghe sono state segnalate negli Stati Uniti, in Cina, Russia, Spagna, Italia, Vietnam, Taiwan. I paesi coinvolti sarebbero almeno 11. Alcuni report, però, fanno riferimento addirittura a 70 stati. “Non è solo indirizzato all’Nhs, è un attacco internazionale e ne sono state colpite un certo numero di nazioni e organizzazioni“, ha detto la premier britannica Theresa May. In Italia, riporta l’emittente, un utente ha condiviso online le immagini di quello sembra essere un laboratorio universitario con i computer bloccati dal virus.
Wannacry e le sue varianti bloccano i computer infettati e chiedono ‘un riscatto’, a giudicare dagli screenshot che alcuni utenti hanno pubblicato sui social. “Se volete decriptare tutti i file, dovete pagare“, si legge nel messaggio, che prevede il versamento di una somma (300 dollari) esclusivamente in Bitcoin.

Cinque cose da sapere per capire Wannacry
1. Colpisce i pc con sistemi operativi così vecchi da non essere più aggiornati dalle case di produzione (XP) o che gli utenti non hanno aggiornato
2. Si innesta via mail o aprendo file su siti infetti
3. Sono stati presi di mira gli ospedali perché hanno dati importanti sulla salute dei pazienti e perchè – nel caso delle cliniche private – hanno i soldi per pagare
4. E’ l’evoluzione di un ransomware già usato e nato dalla fuga di documenti riservati dell’intelligence americana
5. Pagare il riscatto non significa necessariamente tornare in possesso dei propri file

Qual è la situazione in Italia
La Polizia postale, secondo l’Agi, sta monitorando gli effetti dell’attacco ma, al momento, per il nostro Paese, “non si segnalano situazioni di criticità”: l’Italia e’ stata colpita sì, ma non massicciamente. Tra le vittime sin qui figurano solo “un paio di università, ma nessun servizio essenziale”.  Per difendersi, “si consiglia l’installazione della patch MS 17-010, rilasciata da Microsoft il 17 marzo, e quella del 9 maggio”.

I ransomware infettano il computer e cifrano i dati con una password nota solo ai responsabili dell’azione criminale. 
Nell’attacco, sarebbe stato usato un software messo a punto dalla Nsa statunitense.Il software Nsa sarebbe stato fatto circolare online da un gruppo che si fa chiamare ‘Shadow Brothers’, che dallo scorso anno è riuscito a mettere le mani su alcuni strumenti informatici dell’agenzia. Il virus viene diffuso attraverso le email che, una volta aperte, infettano i computer degli utenti, bloccandoli.

Già 45mila infezioni
Screenshot sono stati condivisi online da utenti colpiti nel Regno Unito, Stati Uniti, Cina, Russia, Spagna, Italia, Vietnam, Taiwan. 
Un esperto di sicurezza informatica sostiene in tweet, sempre secondo Agi, di aver rilevato 45mila infezioni di Wannacry e delle sue varianti. 

I ricercatori di Kaspersky Lab hanno analizzato i dati e hanno rilevato che il ransomware infetta le vittime sfruttando una vulnerabilità di Microsoft Windows descritta e risolta nel Microsoft Security Bulletin MS17-010. L’exploit utilizzato, “Eternal Blue”, è stato rivelato nel deposito Shadowbrokers il 14 aprile. Una volta all’interno del sistema, i criminali installano un rootkit, che consente loro di scaricare il software per crittografare i dati. Il malware crittografa i file. Una richiesta di 600 dollari in Bitcoin viene visualizzata insieme al portafoglio – e la domanda di riscatto aumenta nel tempo. Gli esperti di Kaspersky Lab stanno cercando di determinare se è possibile decrittografare i dati bloccati nell’attacco allo scopo di sviluppare quanto prima uno strumento di decriptaggio.

Le soluzioni di protezione di Kaspersky Lab rilevano i malware utilizzati in questo attacco dai seguenti nomi di rilevamento:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (il componente System Watcher deve essere abilitato)

Tra i servizi colpiti quello sanitario del Regno Unito (NHS). La spagnola Telefonica ha dichiarato di essere a conoscenza di un “incidente di cybersecurity” ma che i clienti e i servizi non hanno subito conseguenze. Infettate la società elettrica Iberdrola e il fornitore di servizi Gas Natural e il colosso delle spedizioni FedEx. 

A poche ore dall’attacco, Aatish Pattni, head of threat prevention, Northern Europe di Check Point Software Technologies ha commentato così l’attacco: Il ransomware utilizzato in questo attacco è praticamente nuovo! Si è diffuso velocemente colpendo diverse aziende europee e asiatiche. Questo ransomware è la prova di quanto può essere devastante un malware di questo tipo e quanto può rapidamente provocare danni a persone e organizzazioni. Le aziende devono essere in grado di prevenire le infezioni eseguendo la scansione, bloccando e filtrando i contenuti dei file sospetti prima che raggiungano le loro reti. È inoltre fondamentale che i dipendenti siano istruiti sui potenziali rischi causati da email inviate da soggetti sconosciuti o da messaggi di posta sospetti che però sembrano provenire da contatti conosciuti.”

Whitepaper: Resta aggiornato sul tema in esame scaricando il nostro whitepaper: Come proteggersi dal ransomware

Whitepaper: Volete aggiornarvi sul tema in esame? Scaricate uno dei nostri whitepaper: Dieci cose che un buon firewall dovrebbe fare

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore