L’attacco hacker è ancora in corso con nuove varianti. Colpita la Cina

Il Computer Emergency Response Team della Pubblica Amministrazione (CERT-PA) italiano interviene contro la diffusione del ransomware WannaCry. L’attacco hacker che ha colpito oltre 100 paesi e che continua con nuove varianti. Tanto che oggi è stata colpita la Cina. Lo fa pubblicando un documento rivolto alla PA, utile comunque a tutte le organizzazioni. Vi sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna. Soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già stati colpiti dal malware. Se i dati sono stati già cifrati, l’unica soluzione è il ripristino da una copia di backup. A patto, però, che questa non contenga il ransomware. In Italia, comunque, al momento non si evidenziano danni rilevanti a infrastrutture critiche.

Protezione dalla compromissione di WannaCry

L’unica vera protezione dalla compromissione dal ransomware è l’eliminazione della vulnerabilità. Ciò attraverso l’istallazione della patch, sviluppata e pubblicata da Microsoft, con il Microsoft Security Bulletin MS17-010-Critical: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx. Nel Blog della società sono reperibili ulteriori informazioni utili relative al malware. Inoltre, protezione contro la sua azione si può ottenere attraverso l’antivirus, che deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio del 2017. Per il CERT-PA è fondamentale tenere presente che se l’antivirus ha il vantaggio di “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.

Altre misure per ridurre la probabilità di compromissione dei sistemi

Ulteriori misure atte a ridurre la probabilità di compromissione da WannaCry, e quindi l’estensione del ransomware, sono il Blocco del protocollo SMB sulla frontiera; la Disattivazione del protocollo SMB ove non specificamente richiesto; il Blocco sulla frontiera del traffico diretto verso indirizzi edURL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault, US-CERT e CERT-PA, e abilitare il traffico http verso gli URL hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com e hxxp://www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Ciò in modo da attivare il “kill switch” presente in alcune versioni del malware e bloccare così la sua attività. In alternativa, è possibile redirigere tutto il traffico http diretto verso il web server in esso specificato verso un altro fittizio, che genera una risposta HTTP code 200 per qualsiasi richiesta in arrivo.

Riavvio delle macchine spente

Le macchine che erano spente al momento della diffusione di WannaCry, per altro molto rapida, e non sono state accese sono sicuramente indenni dal malware. Vale perciò la pena di usare qualche accorgimento per evitare che la compromissione dal ransomware presente in altri sistemi possa estendersi anche a esse. A proposito il CERT-PA ricorda che l’accensione di una macchina compromessa può provocare l’infezione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere alla loro accensione con particolare cautela. L’Organismo consiglia una procedura per ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento, senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti.

La procedura del CERT-PA per la riaccensione delle macchine

Innanzitutto per il CERT-PA è necessario che prima di accendere la macchina questa sia scollegata dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi disabilitarne l’interfaccia prima che avvenga il caricamento del sistema operativo). Poi, una volta accesa, bisogna verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, ecc., non procedere oltre nel riavvio e chiedere il supporto esperto. Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry (il ransomware WannaCry). La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto.

Non aprire la posta elettronica prima che sia stato aggiornato l’antivirus e patchato il sistema

Il CERT-PA spiega che se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni. In particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione. Ricollegare poi il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. È imperativo attendere che tale operazione sia completata prima di aprire qualsiasi applicazione. In particolare non bisogna accedere in nessun modo a sistemi di posta elettronica. Questi potrebbero veicolare il ransomware. Dopo il suo termine, il sistema sarà effettivamente libero da WannaCry e potrà essere utilizzato normalmente. Nel caso in cui non sia istallata la patch del bollettino MS17-010, prima di collegarlo alla rete, disattivare il protocollo SMB ed istallare la patch insieme con l’aggiornamento dell’antivirus. Il protocollo potrà essere riattivato, nel caso sia necessario, alla fine della procedura.

Massima attenzione alla posta elettronica

Per il CERT-PA particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione del ransomware laddove sulla frontiera fosse bloccato il protocollo SMB. In generale debbono essere scrupolosamente osservate una serie di regole: non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine. Non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente l’effettivo invio da parte sua del messaggio. Questo potrebbe contenere una variante di WannaCry.

La migliore protezione è una copia di sicurezza dei dati aggiornata

Le indicazioni contenute nel documento del CERT-PA sono essenzialmente regole di buon senso che riducono il rischio di compromissione da parte di WannaCry. Queste, però, ma non possono annullare i pericoli dei ransomware e altri malware. Anche perché gli attaccanti individuano continuamente nuove strategie per aggirare le misure di contrasto messe a protezione dei sistemi. Peraltro l’accento è stato posto sulla semplicità di attuazione, piuttosto che sulla completezza della copertura dei casi che possono verificarsi. La migliore protezione nei confronti degli eventi imprevisti è una copia di sicurezza dei dati aggiornata. È la sola strada che permette il recupero delle informazioni. Il pagamento del riscatto, infatti, non garantisce l’effettivo ripristino dei file cifrati. Inoltre, è opportuno generare una copia di sicurezza, completa del sistema con i file cifrati prima di effettuare il ripristino. Oltre che per eventuali indagini, potrebbe tornare utile se venisse scoperta la chiave per la loro decodifica.

WannaCry bloccato da un kill switch, ma solo temporaneamente

Il CERT-PA ricorda che la propagazione di WannaCry è stata temporaneamente sospesa grazie a un ricercatore britannico che ha individuato un artificio presente nel codice del malware: il kill switch. Questo ha permesso temporaneamente di fuori uso la componente worm della prima variante, registrando un nome a dominio la cui raggiungibilità viene verificata dal ransomware al momento dell’esecuzione. Qualora il dominio risulti raggiungibile, questa versione di WannaCry non tiene conto della componente worm, saltando di fatto la routine che gli consente di propagarsi su altre macchine sfruttando la vulnerabilità nel protocollo SMB dei sistemi Microsoft Windows. Comeè stato già dimostrato da qualche ricercatore, è possibile manomettere lo stesso malware affinchè superi il check previsto dal kill-switch e torni a propagarsi come un worm. L’ipotesi che in queste ore sia già in circolazione una nuova variante del ransomware senza kill-switch sembra tra le più plausibili.

WannaCry potrebbe continuare a diffondersi, grazie a vettori diversi

Kaspersky Labs sostiene che la versione su cui si sta investigando sia una variante successiva ai campioni individuati venerdì. Tuttavia, va considerato che il vettore di propagazione del ransomware potrebbe cambiare (ad esempio utilizzando email o link diffusi via social o torrent). Perciò alcuni fattori rischiano di mettere fuori uso il kill-switch e a WannaCry di continuare a propagarsi come un worm. Ciò in particolare se la postazione non è connessa direttamente alla rete Internet, ma passa per un proxy. In questo cado il kill-switch non funziona. Inoltre, se il dominio viene reso irraggiungibile tramite attacco DDoS o se per qualche motivo l’antivirus o il firewall bloccano l’accesso al dominio, il malware attiverebbe comunque la componente worm.

Le regole diffuse nel regno Unito per combattere la minaccia di WannaCry