WannaCry

WannaCry

  • Posted by netech
  • On 15 maggio 2017

WannaCry è il ransomware del recente attacco informatico

Secondo l’Europol, fino ad oggi sono stati infettati da WannaCry più di 200.000 computer in almeno 150 paesi.

E’ stato il fine settimana dell’ennesimo attacco RansomWare, ma questo, che ha utilizzato WannaCry, ha avuto una attenzione mediatica molto elevata perché ha colpito realtà molto importanti in tutto il mondo, con grande visibilità. Secondo l’Europol, l’agenzia di contrasto dell’Unione europea, fino ad oggi sono stati infettati più di 200.000 computer in almeno 150 paesi. Il Centro Nazionale di Sicurezza Nazionale U.K. ha dichiarato che sono possibili nuovi casi di cyber attacchi e sembra che siano ancora in corso. A questo link è possibile vedere la situazione nelle ultime 24 ore:

Wannacry Worldmap

Le aziende che hanno investito in soluzioni Watchguard hanno sorriso e probabilmente neanche si sono accorte di WannaCry perché il servizio APT Blocker, disponibile per tutte le piattaforme hardware e virtuali di Watchguard, lo ha identificato e bloccato.

WannaCry sfrutta una vulnerabilità di Windows che, anche se corretta mesi fa, non e’ stata installata in tempo reale come sovente succede. APT Blocker di Watchguard protegge anche contro la negligenza. Guardatevi il video con la spiegazione tecnica:

 

 

Dall’analisi iniziale del ransomware WannaCry sembra che la diffusione avvenga tramite MS17-010, una vulnerabilità critica nel sistema operativo Microsoft Windows divulgata di recente. Si ritiene però che il ransomware sia innanzitutto consegnato tramite posta elettronica.

 

WannaCry

Come mostrato da Malwarebyte Labs, dopo l’attacco i cyber criminali chiedono un riscatto di $ 300 in moneta digitale, i Bitcoin, per decriptare ciascun dispositivo senza alcuna certezza che poi ciò avvenga. Si può solo sperare che le aziende colpite abbiano un backup off-line o in cloud per avviare il ripristino da questo cyberattacco.

COME DIFENDERSI AD WANNACRY

Gli amministratori IT devono installare gli ultimi aggiornamenti di protezione di Windows per risolvere la vulnerabilità MS127-010. Mentre, i clienti di WatchGuard dovrebbero abilitare i Gateway AntiVirus, APT Blocker e IPS per arrestare il ransomware al perimetro di rete.

Per i clienti WatchGuard, sia i Gateway AntiVirus (firma: Ransom_r.CFY) sia APT Blocker rilevano e bloccano i ransomware come Wannacry. Gli autori di malware sono noti per rilasciare regolarmente le loro varianti, che potrebbero sfuggire alla rilevazione basata su firme come fanno i Gateway AntiVirus. Invece la rilevazione basata su sandbox di APT Blocker permette di continuare a rilevare e bloccare nel tempo tutte le varianti future. Inoltre, IPS può rilevare e bloccare lo sfruttamento della vulnerabilità MS17-010 (firme: 1133635, 1133636, 1133637, 1133638).