APC
Ransomware

Ransomware "WannaCry", G DATA: un fulmine a ciel sereno

G DATA raccomanda di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

Pubblicato: 15/05/2017 15:40

di: Redazione BitCity

   

Nelle prime ore del mattino di venerdì 12 maggio in tutto il mondo si è rilevata un'ondata considerevole di infezioni ad opera dell'ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l'origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l'obiettivo di distribuire il ransomware attraverso i più svariati canali.
Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L'exploit è chiamato ETERNALBLUE.
In Spagna, presso l'operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.
Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.
Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un'infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.
La falla di sicurezza che ha aperto la strada all'infezione e che trova riscontro anche nel CVE è stata identificata come "critica" e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell'ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.
A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto.
E' inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.
I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.

Ultime News
Disponibile su Android Google Play Protect

Disponibile su Android Google Play Protect

E'ufficialmente disponibile su tutti i dispositivi Android, Google Play Protect, software...

Amazon, arriva Spark, il social per lo shopping

Amazon, arriva Spark, il social per lo shopping

Amazon si lancia nel mondo dei social network con Spark, una sezione della sua app che invita gli...

Le ultime indiscrezioni su iPhone 8

Le ultime indiscrezioni su iPhone 8

In questi giorni sono circolati gli ultimi rumors su iPhone 8: pare tuttavia che lo smartphone...

Facebook, in arrivo le notizie a pagamento

Facebook, in arrivo le notizie a pagamento

Presto, verosimilmente a partire dal mese di ottobre prossimo, Facebook lancerà un paywall...

Cina, censurato WhatsApp

Cina, censurato WhatsApp

Per alcune ore, WhatsApp è stato censurato in Cina. Il motivo risiederebbe nel potenziamento di...

Tornano i Google Glass, ma solo per le aziende

Tornano i Google Glass, ma solo per le aziende

Fanno ritorno i Google Glass, in una versione esclusivamente destinata alle aziende e denominata...

Per Voi


Uspi BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

G11Media