Dopo aver preso di mira da venerdì Europa e Stati Uniti ed essere arrivato a estendere al propria minaccia a più di 150 Paesi e 200mila computer, il ransomware Wannacry fa rotta sulla Cina, mentre secondo i dati pubblicati dal Financial Times sarebbero 1,3 milioni i Pc ancora a rischio, quelli cioè che non hanno ancora proceduto all’installazione delle patch suggerite e messe a disposizione da Microsoft. Intanto il lunedì nero che si prevedeva per l’Europa con la riapertura degli uffici dopo il fine settimana non si è verificato: “Il numero delle vittime non sembra aumentato e al momento la situazione appare stabile in Europa, ciò che equivale a un successo – dice a France Presse il portavoce dell’Europol, Jan Op Gen Oorth – Sembra che in molti si siano messi al lavoro nel weekend e abbiano aggiornato i software di sicurezza. E’ ancora troppo presto per dire che c’è dietro questo attacco, ma ci stiamo lavorando”. “E’ stata la Gran Bretagna il primo Paese bersaglio del cyberattacco lanciato venerdì sera – spiega un portavoce dell’Europol – Da quello che abbiamo visto fino ad ora non si è trattato di un attacco in simultanea a più Stati. Prima sono state attaccate una o più entità nel Regno Unito, poi da lì Wannacry si è diffuso”.
Intanto ammonterebbe a poco più di 53mila dollari, al momento, la cifra che gli hacker sono riusciti ad accumulare con i “riscatti” di Wannacry, almeno stando a quanto riporta Ransom Tracker, il profilo Twitter creato da Michele Spagnuolo, un ingegnere italiano addetto alla sicurezza informatica presso la sede di Google a Zurigo.
Quanto alla Cina, sono “centinaia di migliaia” i pc infettati da Wannacry in 29.372 sedi di istituzioni cinesi, incluse quelle di agenzie del governo. Università, ospedali e uffici della vasta burocrazia cinese, dal gradino più basso fino ai più alti, si sono visti bloccati da un momento all’altro la possibilità di far scorrere le pratiche amministrative riguardanti milioni di persone. In particolare, spiega la compagnia di sicurezza informatica Qihoo 360, Wannacry ha preso di mira docenti e studenti in 4.000 università e centri di ricerca, sebbene non sia chiara ancora la profondità del danno.
Emergono intanto i dati sui risultati dell’attacco Paese per Paese. La svizzera, ad esempio, è stata solamente sfiorata dal cyberattacco: la centrale federale d’annuncio e d’analisi per la sicurezza dell’informazione (Melani) ha infatti registrato soltanto circa 200 indirizzi IP elvetici interessati dall’attacco.
“Abbiamo visto le vulnerabilità immagazzinate dalla Cia apparire sui Wikileaks e ora questa vulnerabilità rubata alla Nsa (l’Agenzia Nazionale per la Sicurezza americana) ha interessato clienti in tutto il mondo – afferma Brad Smith, il presidente e principale consulente legale di Microsoft – Uno scenario equivalente con armi convenzionali sarebbe il furto all’esercito americano dei suoi missili Tomahawk. I governi di tutto il mondo dovrebbero considerare questo attacco come un campanello d’allarme”.
La situazione in Italia intanto non sembra al momento particolarmente grave. “Si sta procedendo a fare le verifiche e gli interventi necessari per bloccare l’attacco – afferma il ministro della Coesione territoriale e del Mezzogiorno, Claudio De Vincenti, a margine di un convegno presso l’università Sapienza di Roma, aggiungendo che nel caso specifico oltre all’impegno a livello nazionale “occorre una cooperazione internazionale”. “L’emergenza non è finita ma al momento registriamo solo effetti marginali e nessuna struttura strategica ha subito danni. Al momento non abbiamo notizia di conseguenze rilevanti, niente di paragonabile a ciò che è stato registrato in altri Paesi – afferma Nunzia Ciardi, direttore della Polizia Postale e delle Comunicazioni – Fin da venerdì scorso abbiamo messo in atto tutte le misure di prevenzione e abbiamo diffuso i suggerimenti utili e le raccomandazioni per ridurre al minimo l’effetto dell’attacco, con una serie di alert su come comportarsi per evitare rischi ai propri dispositivi informatici”. “Siamo impegnati 24 ore su 24, analizzando tutti i sistemi, registrando gli indici di compromissione, segnalando tutte le variabili del virus. Un’attività costante – conclude Ciardi – volta a dare modo a tutti i soggetti interessati e potenzialmente sotto attacco di elevare i propri sistemi di sicurezza”.
“Il malware utilizzato in questo attacco, denominato con le varianti di WannaCry, WCry e WannaCrypt0r 2.0, era un worm. I worm hanno la capacità di propagarsi autonomamente una volta che si trovano all’interno di un’organizzazione – si legge in un post sul blog di Forcepoint Security LABs – estendendo l’infezione da macchina a macchina utilizzando vulnerabilità del sistema operativo Windows non coperte. In questo caso il malware ha utilizzato la vulnerabilità EternalBlue, per la quale Microsoft aveva reso disponibile una patch disponibile tramite MS17-010 nel marzo 2017. Il punto di ingresso nelle aziende in questo caso sembra sia stata una campagna di email con volumi ridotti i cui messaggi contenevano un link collegato ad un sito web compromesso”.
“Le organizzazioni sono più inclini a pagare per una richiesta di riscatto che per servizi di sicurezza che diminuirebbero l’eventualità di un attacco informatico. I malware – si legge in una nota di Verizon – sono un business molto redditizio: Il 51% delle violazioni analizzate vede il ricorso al malware. I ransomware sono aumentati al punto da essere la quinta tipologia di malware più comune e, sfruttando la tecnologia per estorcere denaro alle proprie vittime, sono aumentati del 50% rispetto all’anno scorso, e ancora di più se si considera il 2014, quando erano solo al 22esimo posto di questa classifica. Le aziende del settore produzione sono il bersaglio preferito dei malware, che sfruttano lo strumento della mail”.
“Ospedali e aziende sanitare sono diventati obiettivi molto interessanti per i cybercriminali, in special modo quando si tratta di chiedere un riscatto – spiega Wieland Alge, Vp e Gm Emea di Barracuda Networks – E’ probabile che il massiccio attacco ransomware di pochi giorni fa sarà seguito da attacchi mirati a dispositivi medici connessi, e a questi attacchi sarà ancora più difficile reagire”.
“Il messaggio è evidente – sottolinea Ray Pompon, Principal threat research evangelist di F5 Networks – bisogna sempre applicare le patch in modo rapido, anche se la maggior parte delle organizzazioni lo sa già. Questo è il punto dove concentrarsi, dedicando il proprio tempo al livello secondario della difesa: bloccare il traffico sia in entrata da Internet sia quello che si muove lateralmente attraverso le reti, bloccare o applicare restrizioni per le porte TCP 22, 23, 3389, 139 e 145 nonché UDP 137 e 138 e assicurarsi che i backup siano vincolanti e completi, in modo da poter effettuare il ripristino nel caso si abbia già subito l’attacco”.
“L’unica difesa realmente efficace contro il ransomware è il backup – spiega Vincenzo Costantino, Emea South technical services director in Commvault – Come tutte le organizzazioni colpite lo scorso fine settimana hanno potuto verificare, gli hacker saranno sempre un passo avanti rispetto a ogni software di threat detection. Troppe le armi a loro disposizione, a cominciare dalla preparazione media dei dipendenti. Se i propri dati vengono presi in ostaggio, il modo migliore per riprenderne il controllo è tornare all’ultimo backup prima dell’infezione. E il miglior piano di sicurezza contro il ransomware è una soluzione centralizzata, che impedisca agli attacchi di toccare i dati di cui è stato fatto il backup, con la garanzia che possano essere recuperati in caso di crisi. Pare che non tutte le organizzazioni interessate avessero un piano del genere, questa potrebbe essere l’occasione di considerare l’opportunità di definirne uno a livello preventivo”.
“E’ evidente che il virus si è propagato non solo tramite posta elettronica o siti malevoli, ma anche attaccando su Internet, in modo automatico, tutti i server che presentavano la falla di sicurezza nel sistema di condivisione dei file di Windows visibile dall’esterno – spiega Valerio Pastore, fondatore e presidente di Boole Server, provider italiano di soluzioni di data centric protection – Per evitare pericoli legati a nuovi attacchi ransomware, si consiglia quindi di crittografare i propri file prima che lo faccia il virus, in questo modo ci si protegge sfruttando la stessa arma utilizzata dal virus stesso”.
