WannaCry ovvero “ritorno al futuro”


Il nostro universo interconnesso sta vivendo una crisi importante dovuta all’ormai sensazionalistico ransomware WannaCry, aka WannaCrypt, WanaCrypt0r o WCry, diffusosi a macchia d’olio in pochissimo tempo con modalità che richiamano alla memoria un passato non proprio recente. Matthieu Bonenfant, Chief Marketing Officer, Stormshield, condivide le sue riflessioni.

Assediate da tempo dalla minaccia del ransomware, molte organizzazioni sono riuscite a volare sotto i radar dei cybercriminali mentre altre hanno adottato misure preventive incrementando la consapevolezza degli utenti e impiegando tecnologie di nuova generazione per la propria sicurezza. Tuttavia WannaCry è parso a tutti dotato di una “nuova arma” che ne incrementa a dismisura la potenziale diffusione e il danno cagionato.  Una volta infettato un singolo sitema tramite – per esempio – l’apertura di un allegato, questo malware di nuova generazione è in grado di diffondersi automaticamente in modo del tutto trasparente senza intervento umano, replicandosi quasi istantaneamente su tutte le macchine insufficientemente protette nella rete aziendale. Ma è davvero così?

Quindi qual è la novità? In realtà nessuna, sfortunatamente.

La situazione attuale dà adito a parallelismi con un’esperienza altrettanto caotica del passato. Circa 10 anni fa il worm Conficker obbligò numerose aziende e organizzazioni a disattivare le proprie reti informatiche, chiudere temporaneamente punti di vendita, interrompere catene logistiche, persino l’areonautica militare subì blocchi operativi. Questo worm, che continuava ad assumere nuove forme, si è diffuso in un lampo e ha infettato milioni di sistemi in tutto il mondo. A quei tempi liberarsi dal worm richiese sforzi enormi in termini monetari, di energie, risorse e tempo. Alla fine di questa battaglia, le aziende colpite erano così traumatizzate da essere determinate a non rivivere mai più un’esperienza del genere. “Mai più” è diventato il mantra di un congruo numero di responsabili IT che avevano finalmente fatto esperienza dell’impatto dei rischi informatici sulle proprie attività aziendali.

Ed eccoci qui, dieci anni dopo.  Potremmo dire che è cambiato ben poco da allora, dato che la stessa ricetta ha dimostrato la stessa efficacia dieci anni dopo. Conficker e WannaCry usano lo stesso metodo di propagazione: sfruttano da remoto una vulnerabilità critica di Microsoft attraverso i servizi SMB e NetBIOS. In entrambi i casi, la patch era disponibile mesi prima che il malware fosse lanciato. Dieci anni dopo la stessa tecnica continua a creare subbuglio nelle aziende. Purtroppo non risulta esistere un grafico simile a quello del maggio 2017 prodotto dal SANS Internet Storm Center sull’uso via internet della porta SMB (TCP/445), ma anche allora gli strumenti per il monitoraggio del traffico mostravano un picco simile durante la fase di propagazione di Conficker.

Il picco di utilizzo della porta SMB (TCP/445) durante la propagazione del malware WannaCrypt (maggio 2017).

Gli strumenti che avrebbero cambiato completamente il corso della storia

La cosa più spiacevole nel caso di WannaCry è che la situazione avrebbe potuto essere facilmente evitata o quanto meno ampiamente mitigata: due mesi fa Microsoft ha rilasciato una patch di sicurezza per la vulnerabilità del servizio SMB sfruttata per la diffusione del malware. Molti esperti avevano emesso avvisi riguardo alla criticità di tale falla, riferendosi esplicitamente a Conficker.

Un mese dopo, il gruppo di hacker noti come Shadow Brokers ha persino diffuso il codice rubato alla NSA che sfruttava questa vulnerabilità. Un’informazione passata in sordina e nota ai più solo ora che l’attacco è in corso è oggetto dell’interesse dei media.

Le aziende e le organizzazioni hanno avuto un ampio lasso di tempo per applicare la patch o la soluzione che avrebbe relegato WannaCry al rango di “semplice” ransomware, come tutti quelli con cui noi, quale produttore di soluzioni per la sicurezza IT, ci confrontiamo quotidianamente.

Oltre ad applicare tempestivamente le patch di sicurezza, tecnologie come quelle presenti in Stormshield Endpoint Security basate sull’analisi comportamentale e non sulle mere signature, assicurano una risposta reale a minacce simili a WannaCry, bloccando lo sfruttamento di vulnerabilità anche qualora non siano note o prevenendo azioni malevole, come la cifratura illegittima dei file. Una soluzione che protegge egregiamente anche sistemi basati su Windows XP o Windows 2000, spesso ancora impiegati in infrastrutture critiche, che necessitano di speciali attenzioni.

Conclusioni

Come Conficker, anche WannaCry ha dimostrato che una maggiore consapevolezza dei rischi informatici, adatte misure per la mitigazione di tali rischi e un’applicazione tempestiva delle patch di sicurezza prodotte dai vendor sono sicuramente lo strumento migliore per evitare di incappare ciclicamente negli stessi problemi. Non resta che da chiedersi se “repetita juvant”.

Sarà un lunedì nero? Considerazioni sul ransomware “WannaCry”


Dopo solo tre ore dall’inizio della diffusione di massa “WannaCry” ha mietuto numerosissime vittime in 11 Paesi. Gli effetti sono stati tali da spingere le organizzazioni colpite a richiedere l’immediato spegnimento di tutti i computer. G DATA raccomanda fortemente di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

Un fulmine a ciel sereno

Nelle prime ore del mattino (CET) di venerdì 12 maggio in tutto il mondo si è rilevata un’ondata considerevole di infezioni ad opera dell’ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l’origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l’obiettivo di distribuire il ransomware attraverso i più svariati canali.

Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L’exploit è chiamato ETERNALBLUE ed è parte dei file diffusi pubblicamente lo scorso mese.

In Spagna, presso l’operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.

(Immagine: Martin Wiesner via Twitter, stazione di Neustadt)

 

Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.

Infezione rallentata, l’eroe accidentale di WannaCry

Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un’infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.

Contromisure

La falla di sicurezza che ha aperto la strada all’infezione e che trova riscontro anche nel CVE è stata identificata come “critica” e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell’ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003, microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.

A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto. E’ inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.

I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

Continua a leggere

Il cloud e i servizi erogati in hosting sono sufficientemente sicuri per l’impiego aziendale?


3cx-logo-high-resolution-1024x372Le rigide normative UE in materia di protezione dei dati assicurano ai produttori e provider europei un notevole vantaggio competitivo, considerando che negli Stati Uniti, prove sull’esistenza di specifici programmi della NSA danno adito all’ipotesi che i produttori di piattaforme cloud e i provider di servizi di hosting siano pagati dal governo per garantire un accesso “di sicurezza” ai dati. 3CX ha dotato il proprio Cloud Server di numerosi protocolli di sicurezza “silenziosi”: gli hacker non sanno neanche di essere stati bloccati o inseriti nella black list. 

Modena – Edward Snowden, persona dietro alla fuga di documenti di stato americani segretati avvenuta nel 2013, le cui rivelazioni sulle attività della NSA hanno alimentato, come mai prima, innumerevoli dibattiti sulla garanzia di riservatezza delle informazioni, è uno dei relatori speciali del WHD.global partner summit (WorldHostingDays – 24/26 marzo 2015) che avrà luogo a Rust, in Germania presso il ben noto Europa Park. Snowden sarà affiancato da Sarah Harrison, una delle confidenti più fidate del fondatore di WikiLeaks Julian Assange. Sarah, presente di persona all’evento, e Edward, che vi si unirà attraverso in un collegamento video in diretta, risponderanno alle domande sul futuro di Internet e su come i provider di piattaforme cloud e servizi di hosting dovrebbero gestire i problemi di spionaggio legati agli scandali che hanno coinvolto la NSA.

Oltre a Edward Snowden e Sarah Harrison, al WHD.global 2015 saranno presenti molti relatori appartenenti ad aziende leader di settore quali: Steve Wozniak co-fondatore di Apple e Eugene Kaspersky, CEO di Kaspersky LAB, che forniranno al pubblico idee e argomenti su come l’industria può superare tali ostacoli. Chiaramente, la risoluzione dei dubbi esistenti e delle paure provocate dagli scandali politici sarà – nel lungo periodo – determinante per il successo del cloud e delle tecnologie di hosting nel panorama informatico.

Teoricamente, le aziende di qualsivoglia dimensione opterebbero per un uso del cloud e dei servizi di hosting per molte componenti dell’infrastruttura IT. Insieme ai numerosi vantaggi in termini di amministrazione dei sistemi, tale opzione assicura anche una significativa riduzione dei costi che, in un mercato globalizzato e altamente competitivo come quello odierno, risulta essere di fondamentale importanza per il successo di qualsivoglia organizzazione. Gli sviluppatori di prodotti e servizi cloud / hosting devono mostrare spirito d’iniziativa e agire consapevolmente su due livelli. In primis dovranno tener conto delle norme e degli standard di sicurezza sin dall’inizio delle attività di sviluppo del prodotto. I protagonisti del mercato del cloud non dovrebbero ignorare l’attuale protesta degli utenti finali in merito al livello di sicurezza garantito. In secondo luogo, oltre alle responsabilità tecniche, le organizzazioni coinvolte in queste tecnologie sono chiamate ad agire come bacino di informazioni. Il pubblico, ossia tutti i potenziali clienti, ha bisogno di essere istruito sugli standard di sicurezza impiegati per riacquistare fiducia verso una tecnologia che ha il potenziale per cambiare in positivo molti ambiti dell’industria dell’IT, portando il gioco al prossimo livello.

I legislatori europei sono i precursori: hanno già introdotto rigide normative comunitarie in materia di protezione dei dati, norme che rappresentano un notevole vantaggio competitivo per tutti i produttori europei, laddove invece negli Stati Uniti, voci e prove sull’esistenza di specifici budget danno adito all’ipotesi che i produttori di piattaforme cloud e i provider di servizi di hosting siano pagati dal governo per garantire un accesso “di sicurezza” ai dati.

I servizi di cloud e hosting possono risultare particolarmente vantaggiosi per il mercato delle telecomunicazioni per il trasporto di dati e voce. Dall’inizio delle proprie attività nel 2005, 3CX ha conquistato il mercato dei centralini IP dando vita ad uno dei migliori prodotti della categoria, una soluzione software basata su Windows, di facile configurazione e adatta ad aziende di tutte le dimensioni, che ha sorpassato rapidamente tutti i PBX “fai-da-te” basati su Asterisk presenti sul mercato.

Nick Galea, CCEO,, 33CCX

Nick Galea, CCEO,, 33CCX

Il CEO e fondatore, Nick Galea e il suo team sono votati all’innovazione e come tali pionieri nell’adozione della tecnologia Google WebRTC. Il recente lancio del 3CX WebMeeting posiziona 3CX come uno dei primi produttori di soluzioni UC ad integrare nel proprio centralino IP una soluzione per le videoconferenze che non necessita di alcun plug-in o client ed è gratuita.

Per proteggere il 3CX Phone System da hacker e attacchi, 3CX utilizza una serie di protocolli di sicurezza:
• I siti web sono protetti con il prodocollo https che crittografa tutti i dati
• Le conversazioni sono protette grazie all’uso del protocollo SIP/TLS al posto del mero protocollo SIP
• Il protocollo SRTP assicura la cifratura dei dati vocali

Inoltre, 3CX blocca i ladri di password aggiungendoli “silenziosamente” alla lista interna di blocco anti hacking e ad una lista nera di indirizzi IP: gli hacker non sanno neanche di essere stati bloccati o inseriti nella black list. Su una scala più ampia, è persino possibile negare a qualsiasi prefisso nazionale i diritti di comunicazione con il centralino 3CX. L’elenco dei prefissi nazionali ammessi rappresenta un ulteriore strumento di prevenzione contro gli attacchi provenienti da Paesi in cui i ladri di dati si sentono particolarmente a proprio agio.

L’enorme crescita dell’industria delle comunicazioni via cloud ha inoltre indotto l’azienda a produrre una propria soluzione: il 3CX Cloud Server. La richiesta di centralini IP basati su cloud è in costante crescita, purtroppo però molti PBX virtuali esistenti erogano solo funzionalità di base e gli operatori che li commercializzano tendono a prendere il controllo dei clienti e dei loro dati, rendendo il rivenditore schiavo delle procedure di assistenza e del controllo qualità dell’operatore. Un modello potenzialmente fallimentare per clienti e rivenditori.

Il 3CX Cloud Server è diverso: è dislocato presso un partner certificato 3CX e sviluppato ad hoc per ospitare il 3CX Phone System dei clienti di tale partner. I clienti non devono accontentarsi della versione ridotta di un centralino con funzionalità di base, bensì beneficiano di una versione interamente virtualizzata del 3CX Phone System e quindi di tutte le funzioni avanzate per cui il 3CX è apprezzato. 3CX Cloud Server è una vera soluzione per le comunicazioni unificate, dotata delle caratteristiche di un centralino professionale di fascia alta e supportata da un marchio di portata globale.

Ma non è tutto. 3CX intende mettere a disposizione nel prossimo futuro un proprio servizio di hosting, rispondendo concretamente all’esigenza di standard di sicurezza ancora più elevati, dove anche il controllo di qualità e tutte le procedure di assistenza siano gestite internamente, riducendo ancor di più il rischio di una violazione dei dati da parte di terzi. Agendo direttamente come fornitore di servizi di hosting, i clienti potranno anche fruire di condizioni commerciali interessanti.

Nick Galea, CEO di 3CX, sarà presente al WHD.global 2015, la società è accreditata come Gold Partner della manifestazione annuale. Le piattaforme cloud e i servizi di hosting sono innovazioni rilevanti a livello finanziario. Tutti si aspettano che le migliori menti del mondo IT continuino a sviluppare i protocolli di sicurezza necessari per azzerare le grandi incertezze del passato.

Continua a leggere