L’avrete sicuramente letto o sentito in televisione o alla radio: la scorsa settimana un imponente e inedito attacco informatico ha colpito numerose aziende ed enti pubblici in diversi Paesi del mondo.

L’hackeraggio è iniziato da molti ospedali del sistema sanitario inglese e poi si è esteso dalla Spagna all’Italia, dal Portogallo alla Russia, dall’Ucraina agli Stati Uniti, dalla Cina al Vietnam.

La Polizia Postale è al lavoro da venerdì, quando è giunta la prima notizia dell’attacco informatico. Queste sono le raccomandazioni/informazioni per tutti gli utenti:

1) Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).

2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Per difendersi dall’attacco, raccomanda la Polizia postale, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:
Lato client/server – eseguire l’aggiornamento della protezione per sistemi Microsoft Windows
pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017 – aggiornare il software antivirus
– disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP)
il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette
– il ransomware attacca sia share di rete che backup su cloud quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (IPS/IDS)
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP)

Durante l’attacco informatico sullo schermo dei computer vittime compare un messaggio pop-up che chiede agli utenti di pagare un riscatto di 300 dollari in bitcoin per riavere il corretto accesso al computer.

I bitcoin, la moneta virtuale che nell’ultimo anno sta avendo un successo grandioso, circolano solo su Internet secondo regole prestabilite da un gruppo di persone che agiscono in base a un protocollo definito nel 2008.

La diffusione dei bitcoin è stata rapida e legata a motivi finanziari e ideologici: si voleva creare una metaeconomia virtuale – in cui le banche sarebbero risultate obsolete – che avrebbero permesso transizioni finanziarie tra cittadini senza alcun intermediario.

Bitcoin usa infatti la tecnologia peer-to-peer per non operare con alcuna autorità centrale: la gestione delle transazioni e l’emissione di bitcoin viene effettuata collettivamente dalla rete. Bitcoin è diverso dal denaro che conosciamo e che utilizziamo ogni giorno. Per questa ragione prima di iniziare a usarlo, ci sono alcune cose che è necessario sapere.