Dettaglio News Dettaglio News

WannaCry: Aggiornamenti sulla situazione attuale e indicazioni sul da farsi
15/05/2017
La campagna di infezione "WannaCry" di cui si sta ampiamente discutendo ha contaminato negli utlimi due giorni circa 99 paesi e oltre 200.000 sistemi Windows risultano compromessi. A differenza di altri paesi in cui è stata confermata la compromissione di aziende telefoniche, ospedali e strutture sanitarie, in Italia al momento non si evidenziano danni rilevanti a infrastrutture critiche.

Il Kill-Switch che ha mitigato la propagazione
La propagazione è stata temporaneamente sospesa grazie a un ricercatore britannico che ha individuato un artificio presente nel codice del malware che ha permesso temporaneamente di mettere fuori uso la componente worm di questa prima variante semplicemente registrando un nome a dominio la cui raggiungibilità viene verificata da WannaCry al momento dell'esecuzione. Qualora il dominio risulta raggiungibile, questa versione di WannaCry non tiene conto della componente worm saltando di fatto la routine che gli consente di propagarsi su altre macchine sfruttando la vulnerabilità nel protocollo SMB dei sistemi Microsoft Windows.

Purtroppo la situazione non può considerarsi risolta
Come è stato già dimostrato da qualche ricercatore, è possibile manomettere lo stesso malware affinchè superi il check previsto dal kill-switch e torni a propagarsi come un worm. L'ipotesi che in queste ore sia già in circolazione una nuova variante del ransomware senza kill-switch sembra tra le più plausibili.

A Kaspersky Labs sostengono che la versione di WannaCry su cui si sta investigando sia una variante successiva ai campioni individuati nella giornata di venerdì nei quali non è stata rinvenuta la presenza del kill-switch nel codice.

Tuttavia, considerato che il vettore di propagazione potrebbe cambiare, ad esempio utilizzando email o link diffusi via social o torrent, si potrebbero verificare diversi scenari che consentirebbero di mettere fuori uso il kill-switch e a WannaCry di continuare a propagarsi come un worm:
  • se la postazione non è connessa direttamente alla rete Internet ma passa per un proxy il kill-switch non funziona.
  • se il dominio viene reso irraggiungibile tramite attacco DDoS o se per qualche motivo l'antivirus o il firewall bloccano l'accesso al dominio, WannaCry attiverebbe comunque la componente worm.
Suggerimenti
Per chi non avesse ancora provveduto, ribadiamo che è necessario procedere urgentemente con l'installazione della patch Microsoft risolutiva MS17-010 disponibile anche per i sistemi Windows fuori supporto. Di seguito la pagina per il download del software correttivo (KB4012598) per i sistemi fuori supporto, in particolare Windows XP, Windows 8 e Windows Server 2003.

Si suggerisce inoltre di seguire le linee guida emesse dal CERT-PA relativamente a come difendersi dalla minaccia dei Ransomware e proteggere i propri dati

Per quanto riguarda le Pubbliche Amministrazioni, si rammenta che le nuove Misure minime di sicurezza ICT per la PA obbligano tutte le PA a mantenere aggiornati i software di base e gli applicativi.

Linee guida: Mitigare gli effetti di WannaCry
Il CERT-PA ha pubblicato le linea guida per mitigare gli effetti e per la riaccensione delle macchine. Una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.

È abbastanza evidente che laddove i dati siano stati già cifrati l’unica strategia possibile è il ripristino da una copia di backup non toccata dal malware. Nel documento che può essere consultato o scaricato in formato PDF sono contenute alcune considerazioni su quanto fare per il ripristino in questi casi.


Indicatori di Compromissione (IoC)
WCry.IoC.015.infosharing.xlsx

Riferimenti CERT

Riferimenti Vendor