Come noto, ieri, 12 maggio 2017, si sono verificati oltre 45.000 attacchi hacker che hanno colpito in circa 75 paesi. Tra i siti più colpiti c’è quello del sistema nazionale britannico della Sanità. Anche la Banca centrale russa, diversi ministeri e il sistema ferroviario russi sono rimasti vittime dell’attacco informatico. Inoltre, alcuni siti di produzione della Renault sono stati fermati in Francia a causa dell’ondata di cyberattacchi e che hanno colpito anche la casa automobilistica francese: lo ha reso noto la direzione della stessa Renault. L’attacco hacker provocato dal ransomware WannaCryptor è stato ovviamente individuato anche dal team Incident Response di Check Point.
Numerose organizzazioni a livello mondiale sono state colpite da questo attacco hacker che ha utilizzato e sta utilizzando il protocollo SMB (Server Message Block) per propagarsi all’interno delle reti aziendali. Il vettore d’attacco può presentarsi in numerosi modi, come un link all’interno di una mail, come un link all’interno di un PDF o come un file ZIP crittografato protetto da password che contiene un PDF che dà avvio alla catena di infezione. Secondo quanto riportato dalla società israeliana specializzata in soluzioni per la sicurezza informatica, il ransomware che ha sferrato l’attacco è la versione 2.0 di WCry, noto come WannaCry o WanaCrypt0r, che sfrutta una falla ribattezzata EternalBlue.
La versione 1.0 di questo ransomware era stata scoperta lo scorso 10 febbraio, ma il ransomware era stato poco utilizzato. Ieri, invece, la versione 2.0 è stata responsabile di un attacco mondiale che è ancora in corso. In particolare questo ultimo attacco globale è particolarmente inquietante perché il malware utilizzato oltre a essere un ransomware, rientra nella categoria worm (malware in grado di autoreplicarsi). Il worm si diffonde ad altri computer tramite appunto una mail o una rete di pc. Una volta che il PC viene colpito, il worm crittografa i dati e blocca il dispositivo finché non viene pagato un minimo di 300 dollari in bitcoin. “Se volete decriptare tutti i file, dovete pagare”, si legge nel messaggio che appare.
Per evitare il disastro, è disponibile una patch da installare, la MS17-010. Alcuni riferiscono che questo potrebbe essere stato lanciato dagli strumenti hacker dell’NSA rilasciati dal gruppo Shadow Brokers circa un mese fa. Oltre gli ospedali britannici, l’attacco ha coinvolto aziende presenti in Russia, Turchia, Indonesia, Vietnam, Giappone, Spagna e Germania. In Spagna sono state coinvolte aziende come Telefonica e Santander. Il team Incident Response di Check Point sta continuamente tenendo sotto controllo la situazione e ha fornito ai propri clienti una serie di informazioni per capire come le soluzioni di Check Point possono essere utilizzate per analizzare e prevenire gli elementi dell’attacco.
WannaCry Colpisce i PC con sistemi operativi obsoleti non più aggiornati dalle case di produzione (Windows XP e Windows Vista) o che gli utenti non hanno provveduto da aggiornare. Si innesta attraverso mail o aprendo file su siti infetti e pagare il riscatto non significa necessariamente tornare in possesso dei propri file. Per quanto riguarda l'Italia, alcune immagini mostrano i computer di una università bloccati dal ransomware. Le informazioni sono disponibili anche qui: http://bit.ly/2qDALt0. Check Point Software Technologies raccomanda ovviamente di prestare massima attenzione ai file che si ricevono via email e di non aprile assolutamente file sospetti anche se provenienti da mittenti conosciuti.
A poche ore dall’attacco, Aatish Pattni, head of threat prevention, Northern Europe di Check Point Software Technologies ha così commentato: “Il ransomware utilizzato in questo attacco è praticamente nuovo! Si è diffuso velocemente colpendo diverse aziende europee e asiatiche. Questo ransomware è la prova di quanto può essere devastante un malware di questo tipo e quanto può rapidamente provocare danni a persone e organizzazioni. Le aziende devono essere in grado di prevenire le infezioni eseguendo la scansione, bloccando e filtrando i contenuti dei file sospetti prima che raggiungano le loro reti. È inoltre fondamentale che i dipendenti siano istruiti sui potenziali rischi causati da email inviate da soggetti sconosciuti o da messaggi di posta sospetti che però sembrano provenire da contatti conosciuti”.
WannaCry Colpisce i PC con sistemi operativi obsoleti non più aggiornati dalle case di produzione (Windows XP e Windows Vista) o che gli utenti non hanno provveduto da aggiornare. Si innesta attraverso mail o aprendo file su siti infetti e pagare il riscatto non significa necessariamente tornare in possesso dei propri file. Per quanto riguarda l'Italia, alcune immagini mostrano i computer di una università bloccati dal ransomware. Le informazioni sono disponibili anche qui: http://bit.ly/2qDALt0. Check Point Software Technologies raccomanda ovviamente di prestare massima attenzione ai file che si ricevono via email e di non aprile assolutamente file sospetti anche se provenienti da mittenti conosciuti.
A poche ore dall’attacco, Aatish Pattni, head of threat prevention, Northern Europe di Check Point Software Technologies ha così commentato: “Il ransomware utilizzato in questo attacco è praticamente nuovo! Si è diffuso velocemente colpendo diverse aziende europee e asiatiche. Questo ransomware è la prova di quanto può essere devastante un malware di questo tipo e quanto può rapidamente provocare danni a persone e organizzazioni. Le aziende devono essere in grado di prevenire le infezioni eseguendo la scansione, bloccando e filtrando i contenuti dei file sospetti prima che raggiungano le loro reti. È inoltre fondamentale che i dipendenti siano istruiti sui potenziali rischi causati da email inviate da soggetti sconosciuti o da messaggi di posta sospetti che però sembrano provenire da contatti conosciuti”.
Nessun commento:
Posta un commento