cyber security

WannaCry: ecco come mitigare gli effetti del ransomware

Anche se la propagazione è stata temporaneamente sospesa grazie ad un kill switch di un ricercatore britannico che ha individuato un artificio presente nel codice del malware, la situazione, si aggiunge, non può considerarsi risolta

WannaCry: ecco come mitigare gli effetti del ransomware
WannaCry: ecco come mitigare gli effetti del ransomware (Shutterstock.com)

ROMA - La campagna di infezione ransomware WannaCry (noto anche come (WCry o WannaCryptOr) ha contaminato nei giorni scorsi decine di Paesi nel mondo e compromesso oltre 200mila sistemi Windows, danneggiando aziende telefoniche, ospedali e strutture sanitarie. Per questa ragione, l'Agenzia per l'Italia digitale (Agid) ha pubblicato - attraverso CERT-PA - le linea guida per mitigare gli effetti dannosi e per la riaccensione delle macchine. Nel documento, sono riportate una serie di azioni che possono essere assunte per mitigare l'impatto della campagna, soprattutto cercando di evitare l'estensione della compromissione a sistemi che non sono già compromessi.

Per chi non avesse ancora provveduto, su CERT-PA, alcuni suggerimenti utili per fronteggiare il ransomware, tra cui il procedere urgentemente con l'installazione della patch Microsoft risolutiva MS17-010 (disponibile anche per i sistemi Windows fuori supporto), il blocco del protocollo SMB sulla frontiera, la disattivazione del protocollo SMB ove non specificamente richiesto, e il blocco sulla frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati. Protezione contro l'azione del malware si può ottenere attraverso l'antivirus, che deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio. È fondamentale tenere presente che se l'antivirus ha il vantaggio di poter ripulire una macchina compromessa, cosa che la sola istallazione della patch non può fare, d'altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell'antivirus. Perciò è tassativa l'installazione della patch.

Anche se la propagazione è stata temporaneamente sospesa grazie ad un kill switch di un ricercatore britannico che ha individuato un artificio presente nel codice del malware, la situazione, si aggiunge, non può considerarsi risolta, in quanto è possibile manomettere lo stesso malware affinché superi il check previsto dal kill-switch e torni a propagarsi come un worm. È importante, pertanto, seguire le linee guida per mitigare gli effetti e per la riaccensione delle macchine e su come difendersi dalla minaccia dei Ransomware e proteggere i propri dati. Le macchine che erano spente al momento della diffusione, peraltro molto rapida, del malware e non sono state accese sono sicuramente indenni; vale perciò la pena di usare qualche accorgimento per evitare che la compromissione presente in altri sistemi possa estendersi anche ad esse. Contemporaneamente l'accensione di una macchina compromessa può provocare la compromissione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere all'accensione dei sistemi con particolare cautela.

La procedura che segue - rimarca il CERT-PA - consente di ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti:

- Prima di accendere la macchina scollegarla dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi occorre disabilitarne l'interfaccia prima che avvenga il caricamento del sistema operativo, tale operazione può non essere alla portata dell'utente) - Accendere la macchina scollegata e verificare che l'avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, eccetera, non procedere oltre nel riavvio e chiedere il supporto esperto. - Se l'avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull'hard disk della macchina una ricerca per file il cui nome abbia l'estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto. - Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all'apertura della sessione. - Ricollegare il sistema alla rete locale e forzare l'aggiornamento dell'antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.

Nel caso in cui sul sistema non sia istallata la patch di cui al bollettino MS17-010, prima di collegarlo alla rete, disattivare il protocollo SMB ed istallare la patch insieme con l'aggiornamento dell'antivirus. Il protocollo potrà essere riattivato, nel caso sia necessario, alla fine della procedura.

Particolare attenzione, si sottolinea, deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione laddove sulla frontiera fosse bloccato il protocollo SMB. In generale debbono essere "scrupolosamente" osservate le seguenti regole: - Non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l'origine. - Non cliccare per nessuna ragione su link contenuti all'interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente (e.g. telefonicamente) l'effettivo invio da parte sua del messaggio.

Per le amministrazioni, si rammenta inoltre che le nuove Misure minime di sicurezza ICT per la PA obbligano tutte le PA a mantenere aggiornati i software di base e gli applicativi. «Non è ancora noto - rimarca a Corrado Giustozzi, esperto di sicurezza cibernetica presso l'Agenzia per l'Italia Digitale (Agid) per lo sviluppo del CERT-PA e membro del Permanent Stakeholders' Group dell'Enisa - quale sia stato il vettore che ha consentito la diffusione del ransomware. E anche il volume delle transazioni registrate sinora sui conti Bitcoin conosciuti dove confluiscono le richieste di denaro collegate a WannaCry appaiono per il momento modeste. Ci sono dunque molti elementi strani in questa vicenda, compreso l'aspetto inusuale dell'esistenza di un Kill Switch per fermarne la propagazione, anche se almeno un paio di versioni del malware circolate non lo contenevano nel codice. Ad ogni modo questa vicenda ci dice, per l'ennesima volta, che chi cade vittima di queste infezioni è di solito chi è meno attrezzato culturalmente. Bisogna considerare l'aggiornamento dei propri software e la cyber security come una priorità e non qualcosa da implementare a posteriori, quando il danno è già fatto. Non bisogna cadere preda di una sorta di pigrizia mentale che è alla base del successo di molti attacchi hacker. Certamente aggiornare un sistema SCADA che gestisce un'infrastruttura critica è più complesso e problematico del tenere in ordine il computer di un ufficio; tuttavia bisogna sempre avere come obiettivo quello di creare le condizioni tecniche perché questi episodi possano essere evitati o limitati».