Wannacry: nessun secondo picco ma continuano i disagi dell’attacco hacker

Oggi è lunedì, e com’era prevedibile, abbiamo potuto constatare i danni effettivi dell’attacco informatico Wannacry. Gli appuntamenti di routine del sistema nazionale sanitario locale inglese (NHS) sono stati cancellati. I pazienti sono stati invitati ad utilizzare il servizio sanitario solo in situazioni di estrema urgenza, in quanto gli effetti dell’attacco ransomware sono ancora evidenti, nonostante non siano arrivati nuovi attacchi. Ad affermarlo è stato il segretario sanitario Jeremy Hunt. Alcuni ospedali poiché hanno cancellato tutti gli appuntamenti, è stato preferito spostare le ambulanze di tali centri, in zone in cui il servizio era regolare.

«Non abbiamo visto una seconda ondata di attacchi e il livello di attività criminale è inferiore a quanto previsto», ha detto Hunt. Egli dovrebbe partecipare ad una riunione di commissione sulla sicurezza informatica.

Wannacry, l’80% dei computer NHS non sono stati colpiti

Come detto prima, ai pazienti è stato detto di prenotare appuntamenti, solo se consigliato dai medici di famiglia. Il ransomware che ha colpito il NHS in Inghilterra e in Scozia, noto come Wanna Decryptor o WannaCry, ha infettato 200.000 sistemi informatici in 150 paesi dal venerdì.

L’Agenzia Nazionale del Crimine ha detto che non ha visto, al momento, un “secondo picco” negli attacchi ma questo non significa che non ci sarà.

Hunt ha detto alla BBC che aveva “massicciamente” aggiornato i sistemi di sicurezza. Ciò ha incluso ridurre il numero di computer che utilizzavano un vecchio sistema operativo Microsoft e quindi vulnerabili all’attacco.

Il signor Hunt ha detto che l’NHS è una rete enorme e più dell’80% non sono stati colpiti da questo cyber attacco. Il ransomware blocca i file degli utenti e richiede un prezzo di circa 300 euro per potervi accedere. Ricordiamo che tra le vittime ci sono Renault, FedEx e il ministero degli interni russo.

Italia: il comunicato della Polizia di Stato

Abbiamo introdotto un po’ la situazione attuale in Gran Bretagna, ma in Italia quali precauzioni dobbiamo prendere? Ci sono stati problemi? La Polizia di Stato ha pubblicato sul portale un comunicato stampa in cui elenca dei comportamenti da mettere in pratica per una maggior salvaguardia della propria privacy.

In relazione alla notizia dell’attacco hacker a livello globale compiuto attraverso un
ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r e rilevato a partire dal
febbraio scorso, la Polizia Postale e delle Comunicazioni e in particolar modo il
Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture
Critiche – CNAIPIC, sta costantemente analizzando il fenomeno, intensificando le
attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle
infrastrutture informatiche del Paese.

Inizia con tali parole il comunicato stampa. Il ministero degli interni fa sapere che nonostante l’attacco sia arrivato in Italia a partire dal venerdì, non si hanno danni gravi a sistemi informatici e reti telematiche del Paese.

Il comunicato ci tiene a precisare il modo in cui il computer viene infettato:

1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail
vettore dell’infezione).
2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug
EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema
C:\windows.
3) Si installa quindi come servizio e procede ad eseguire due attività parallele
utilizzando diversi eseguibili.
4) La prima attività consiste nel cifrare determinate tipologie di file;
5) La seconda provvede a propagare il malware sulla eventuale LAN presente
sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139.
Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi
target da infettare via SMB porta 445.
6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti
con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor
DoublePulsar o altro.”

Il ministero degli interni, fa sapere anche le procedure da attuare per difendersi, o comunque limitare l’effetto, degli attacchi informatici in generale:

Lato client/server
– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows
pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017;
– aggiornare il software antivirus;
– disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block
(SMB) e Remote Desktop Protocol (RDP);
– il ransomware si propaga anche tramite phishing pertanto non aprire
link/allegati provenienti da email sospette;
– il ransomware attacca sia share di rete che backup su cloud quindi per chi non
l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili
isolati.
Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al
rilevamento delle intrusioni (IPS/IDS);
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su
protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP);

Ovviamente, ci teniamo a precisare che anche noi consigliamo di seguire tali procedure. Siamo i primi a mettere in atto tali soluzioni, alcune apparentemente banali (anche se in molti non aggiornano i propri programmi di sicurezza), altre un po’ meno.

Fonte