Sarà un lunedì nero? Considerazioni sul ransomware “WannaCry”


Dopo solo tre ore dall’inizio della diffusione di massa “WannaCry” ha mietuto numerosissime vittime in 11 Paesi. Gli effetti sono stati tali da spingere le organizzazioni colpite a richiedere l’immediato spegnimento di tutti i computer. G DATA raccomanda fortemente di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

Un fulmine a ciel sereno

Nelle prime ore del mattino (CET) di venerdì 12 maggio in tutto il mondo si è rilevata un’ondata considerevole di infezioni ad opera dell’ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l’origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l’obiettivo di distribuire il ransomware attraverso i più svariati canali.

Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L’exploit è chiamato ETERNALBLUE ed è parte dei file diffusi pubblicamente lo scorso mese.

In Spagna, presso l’operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.

(Immagine: Martin Wiesner via Twitter, stazione di Neustadt)

 

Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.

Infezione rallentata, l’eroe accidentale di WannaCry

Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un’infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.

Contromisure

La falla di sicurezza che ha aperto la strada all’infezione e che trova riscontro anche nel CVE è stata identificata come “critica” e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell’ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003, microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.

A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto. E’ inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.

I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

Continua a leggere

Quando cambiare è sinonimo di benefici: Ameropa sceglie gateprotect


Ameropa AG sceglie gateprotect per sostituire le soluzioni per la sicurezza informatica di SonicWALL e proteggere le proprie attività su scala globale. Elementi chiave per la decisione: scalabilità, semplicità di gestione e assistenza tecnica di alta qualità.

Fondata nel 1948, la svizzera Ameropa AG svolge le proprie attività commerciali attraverso 30 filiali dislocate in tutto il mondo. Dalla sede centrale a Binningen, vicino a Basilea, Ameropa AG coordina continuamente l’espansione delle proprie relazioni commerciali in tutti e cinque i continenti, puntando sulla crescita organica. L’attività primaria dell’azienda risiede nella commercializzazione internazionale di cereali, concimi chimici, prodotti petrolchimici e metalli. Ameropa AG impiega attualmente circa 4875 collaboratori, di cui gran parte figura nella forza vendite esterna.

La sede centrale di Ameropa AG Le esigenze
La comunicazione tra la forza vendite esterna , le filiali e la centrale ha luogo attraverso tunnel VPN IPSec. Gli impiegati delle filiali internazionali accedono ad applicazioni critiche per le vendite attraverso una media di 30 – 40 canali VPN costantemente aperti che passano direttamente attraverso il firewall. Agli utenti interni sono invece riservate applicazioni centralizzate per la contabilità ed il controlling, protette dal firewall contro gli accessi indesiderati. A fronte della forte crescita aziendale che ha accompagnato un notevole aumento degli utenti nelle singole filiali, il numero delle connessioni VPN doveva essere incrementato. Le soluzioni SonicWALL originariamente impiegate nell’azienda avevano raggiunto i propri limiti e dovevano essere sostituite. Si rivelava inoltre sempre più urgente dotare le filiali internazionali in forte espansione di propri firewall.

Criteri per la selezione
Per ogni filiale estera di grandi dimensioni è previsto un amministratore di sistema responsabile dell’intera infrastruttura IT in loco. La valutazione della giusta soluzione per la sicurezza informatica non poteva basarsi esclusivamente su criteri di performance ma contemplarne l’ergonomicità, a fronte della necessità di ridurre al massimo le risorse che l’amministratore di sistema avrebbe dovuto dedicare alla gestione dei dispositivi.

La scelta
Nella centrale di Binningen l’amministrazione della sicurezza IT è affidata alla Computer Löwe. “Ci sono state richieste due offerte comparative per la sostituzione della soluzione SonicWALL e l’ampliamento dell’infrastruttura di sicurezza presso le filiali internazionali di Ameropa. I produttori gateProtect e SonicWALL sono stati posti in diretta concorrenza e l’offerta del produttore amburghese è risultata la migliore“ sottolinea Markus Keller, AD di Computer Löwe. „La motivazione essenziale della decisione è stata l’estrema ergonomicità dei firewall di gateprotect”. L’alto grado di usabilità delle soluzioni gateprotect è garantito dall’interfaccia grafica intuitiva e orientata ai processi delle soluzioni gateprotect: la eGUI® (ergonomic Graphic User Interface), con cui è possibile realizzare configurazioni complesse con un semplice drag and drop.

La soluzione
Negli scorsi anni il progetto è cresciuto costantemente. Nella centrale di Ameropa sono state implementate due appliance gateprotect GPA 400 in configurazione ridondata per la massima continuità del servizio. A livello internazionale invece sono state installate quattro GPA 250 e quattro GPO 125, gestite remotamente, con la possibilità ovviamente di modificare la configurazione dei dispositivi in loco a seconda delle esigenze.

Conclusioni
A fronte delle esperienze positive con le soluzioni gateprotect, l’installazione viene ampliata costantemente. Sono infatti pianificate nuove appliance per ulteriori filiali internazionali e la sostituzione della soluzione VPN di Cisco con la soluzione di gateprotect.

*.*

Continua a leggere