Restare aggiornati e non avere delle vulnerabilità nei propri sistemi è fondamentale per la salute dell'ambiente IT! WannaCry 2.0 è in arrivo

Avrete sicuramente già letto le ultime notizie riguardanti la sicurezza in ambito IT e sicuramente sarete a conoscenza del ransomware che si sta espandendo a macchia d’olio per il mondo terrorizzando gli utenti di tutte le aziende.

Un ricercatore inglese di 22 anni ha scoperto una funzione all’interno della prima versione di WannaCry chiamata “Kill Switch” utilizzata poi per arrestare l’avanzamento del ransomware.

Purtroppo la funzione “Kill Switch” ha solamente provocato un rallentamento all’espansione del malware.

Molti ricercatori hanno confermato l’esistenza di varie forme di WannaCry, con differenti domini di “Kill Switch” e anche versioni senza questa funzione, che continuano ad infettare e crittografare i computer non aggiornati in tutto il mondo.

Oltre 237,000 computer in 99 stati sono stati infettati dalla minaccia, che sta crescendo sempre di più nelle ultime ore.

 

Per chi non lo sapesse WannaCry è un nuovo tipo di ransomware incredibilmente veloce nella sua diffusione che sfrutta una vulnerabilità dell’SMB di Windows per acquisire il target del computer non aggiornato e quindi vulnerabile o con una versione non più supportata da Windows (es: XP) da remoto.

Una volta infettati il ransomware esegue una scansione dei sistemi collegati al PC infetto per rilevarne altri nella stessa rete che presentino vulnerabilità in modo da infettarli.

La vulnerabilità SMB attualmente utilizzata da WannaCry è stata identificata come EternalBlue, una collezione di strumenti di Hacking creata dalla NSA e scaricati successivamente da un gruppo di Hacker chiamati “The Shadow Broker” più di un mese fa.

 

 

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Il dominio sopracitato è il responsabile per il continuo propagarsi di WannaCry. Se la connessione a questo dominio fallisce l’SMB worm procede all’infezione del sistema.

Dovete sapere che la funzione “Kill Switch” non bloccherà l’infezione nei pc non aggiornati nei seguenti scenari:

 

  • Se WannaCry arriva per Email, un Torrent malevolo o altri vettori di infezione (invece del protocollo SMB)
  • Se qualcuno blocca il dominio di sinkhole e lo rende inaccessibile a tutti, usando per esempio un attacco su larga scala DDoS
  • Se il proprio ISP o l’antivirus o il firewall blocca l’accesso al dominio di sinkhole
  • Se è presente un proxy per accedere ad Internet, che è la configurazione più comune nelle reti aziendali

Il ransomware si sta comunque evolvendo e proprio in questo momento nuove varianti di WannaCry (non tutte ancora confermate ma sicuramente preoccupanti) si stanno diffondendo in tutti i sistemi non aggiornati e quindi ancora vulnerabili.

 

I prossimi attacchi potrebbero essere inevitabili e disastrosi sia a livello di infrastruttura che a livello economico per molte aziende se le infrastrutture IT non verranno aggiornate immediatamente e non verranno implementate le adeguate soluzioni di sicurezza.

 

Preparatevi: aggiornate i sistemi operativi e disabilitate l’SMBv1

 

Anche se la maggior parte dei sistemi potrebbero essere stati aggiornati e le vulnerabilità patchate sicuramente ci saranno macchine negli ambienti IT che sono eseguite con sistemi vecchi come XP o Vista o addirittura per esempio gli ATM o i cartelloni pubblicitari elettronici che quindi soffrono di questa vulnerabilità di Windows. Aggiornare tutti questi sistemi richiede tempo e denaro o per esempio tempo nel richiedere nuove licenze per software più aggiornati.

Un consiglio pratico e veloce da attuare è quello di disabilitare l’SMB in sistemi che non lo necessitano.

Esistono due metodi per farlo:

Metodo 1 --> Cercare “Attiva o disattiva funzionalità di Windows” e togliere la spunta da Supporto per condivisione file SMB 1.0/CIFS e riavviare la macchina.

Metodo 2 --> Da una linea di comando PowerShell utilizzare la seguente funzione “ Disable-WindowsOptionalFeature –Online –FeatureName smb1protocol”

 

Non sai come procedere o da dove iniziare per mettere in sicurezza i tuoi sistemi?

Contattaci ai nostri recapiti, gli esperti di Sicurezza di CIPS ti proporranno soluzioni affermate e ti guideranno nella messa in sicurezza dei tuoi ambienti per portare al minimo il rischio di infezione!

Telefono: 0758521413

Email: Info@cips.it , Loris@cips.it

LinkedIn: https://www.linkedin.com/in/cipsinformatica/

Facebook: https://www.facebook.com/CipsInformatica/

Twitter: https://twitter.com/CipsInformatica?lang=it