NEWS:

Attacco hacker mondiale prosegue, stamattina in tilt migliaia di pc in Cina

L'attacco è scattato venerdì e ha colpito 150 paesi tra cui l'Italia

Pubblicato:15-05-2017 13:21
Ultimo aggiornamento:17-12-2020 11:13

FacebookLinkedInXEmailWhatsApp

ROMA – Prosegue l’attacco hacker mondiale che da venerdì ha colpito 150 paesi del mondo tra cui l’italia. Il virus Wannacry (tecnicamente è un ransomware), di fatto blocca i computer infettati, rendendo inaccessibili tutti i dati e per ripristinarli chiede il pagamento di un riscatto da effettuare in Bitcoin, la moneta elettronica. In Cina, in queste ore, sarebbero 29.372 sedi di istituzioni cinesi colpite, incluse agenzie governative. Mentre in Europa il pericolo di un lunedì nero dopo il rientro in ufficio di impiegati e liberi professionisti pare, al momento, scampato. La situazione in Europa, invece, è stabile. In Italia, sebbene l’attacco sia presente dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le infrastrutture informatiche del Paese.

Oggi il virus ha ricominciato a colpire in Cina. Proprio ieri la Polizia postale in una nota, aveva paventato il rischi che i problemi non fossero finiti. “Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di ‘WannaCry’ 2.0, ovvero al riavvio delle macchine per la giornata di domani (oggi, ndr), inizio della settimana lavorativa”. scriveva la postale. Dalla serata di venerdì, intanto, la Sala Operativa del Cnaipic (Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche) è in costante contatto con i referenti tecnici delle infrastrutture critiche informatizzate e, tramite il Nucleo Sicurezza cibernetica, con i componenti dell’Architettura di difesa Cyber nazionale. Costante anche il rapporto con gli organismi di cooperazione internazionale ed in particolare con il centro EC3 di Europol. Diramati dal CNAIPIC diversi alert di sicurezza con gli indicatori di compromissione relativi all’attacco hacker, utili per l’innalzamento del livello di sicurezza dei sistemi informatici

COME FUNZIONA IL VIRUS

Il virus funziona così: le vittime ricevono il malware via rete (non si hanno al momento evidenze di una mail come vettore dell’infezione). Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:windows. Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili: la prima consiste nel cifrare determinate tipologie di file come da link; la seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445. Il virus funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. “Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete”, precisa la nota.


COME DIFENDERSI, I CONSIGLI DELLA POLIZIA POSTALE

Per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 1 marzo 2017.

Aggiornare il software antivirus.

Disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP) .

Il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette.

Il ransomware attacca sia share di rete che backup su cloud quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (IPS/IDS)

Ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP) La lista degli indicatori è reperibile sul sito www.commissariatodips.it.

Le notizie del sito Dire sono utilizzabili e riproducibili, a condizione di citare espressamente la fonte Agenzia DIRE e l’indirizzo www.dire.it