Home . Magazine . Cybernews . Attacco hacker, ecco cosa succede ai computer colpiti

Attacco hacker, ecco cosa succede ai computer colpiti

CYBERNEWS
Attacco hacker, ecco cosa succede ai computer colpiti

(FOTOGRAMMA)

Per chi rientra in ufficio, "attenzione a quanto riportato". Continuano la vigilanza e i consigli da parte della polizia in relazione all'"attacco hacker a livello globale compiuto attraverso un ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r e rilevato a partire dal febbraio scorso".

La Polizia Postale - e in particolar modo il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche (CNAIPIC) - "sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio" per "garantire la massima sicurezza delle infrastrutture informatiche del Paese".

"Dai primi accertamenti effettuati e dalle risultanze raccolte ad oggi - si legge sul post pubblicato sul profilo Facebook 'Commissariato di PS Online' - sebbene l'attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici".

COSA ACCADE - In generale i comportamenti rilevati sono i seguenti, come confermato dalla polizia sul social network:

1) le vittime ricevono il malware in rete (non si hanno al momento evidenze di mail vettore dell'infezione);

2) il malware si installa nella macchina 'vittima' sfruttando il noto bug EternalBlue e deposita l'eseguibile mssecsvc.exe nella directory di sistema C:\windows;

3) si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili;

4) la prima attività consiste nel cifrare determinate tipologie di file, come si vede da questo link ;

5) la seconda attività provvede a propagare il malware sulla eventuale LAN presente, sfruttando la vulnerabilità suddetta del protocollo SMB (con le porte TCP 445 e 139). Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445;

6) funziona in Ring 0, quindi potenzialmente causa di maggiori danni di quanti fatti con la sola attività di cifratura (non è ancora noto se è anche installato la backdoor DoublePulsar o altro).

"Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete" rende noto la Polizia Postale. "Non si escludono ulteriori problematiche legate alla propagazione di un'ulteriore versione di 'WannaCry' 2.0, ovvero al riavvio delle macchine" per l'inizio della settimana lavorativa.

COME DIFENDERSI - Per difendersi dall'attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

A) Lato client/server

- eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017;

- aggiornare il software antivirus;

- disabilitare ove possibile e ritenuto opportuno i servizi 'Server Message Block' (SMB) e 'Remote Desktop Protocol' (RDP);

- non aprire link/allegati provenienti da email sospette, visto che il ransomware si propaga anche tramite phishing;

- aggiornare la copia del backup e tenere i dati sensibili isolati (il ransomware attacca sia share di rete che backup su cloud).

B) Lato sicurezza perimetrale

- eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (IPS/IDS);

- ove possibile e ritenuto opportuno, bloccare tutto il traffico in entrata su protocolli 'Server Message Block' (SMB) e 'Remote Desktop Protocol' (RDP).

Commenti
Per scrivere un commento è necessario registrarsi ed accedere: ACCEDI oppure REGISTRATI