Le Top 5 Mitigazioni di WannaCry

L’episodio di ransomware di WannaCry (.WNCRY, Wana Decrypt0r 2.0) è sicuramente l’evento più spaventoso della cyberecurity del 2017. Finora il ransomware ha compromesso i sistemi di Telefonica in Spagna, oltre a multipli ospedali nel Regno Unito. Ha anche colpito le macchine dei Servizi Nazionali Sanitari in Inghilterra e Scozia.

Come suggerito da più fonti, anche la NHS e altre organizzazioni sono state colpite perché usavano un Windows XP non supportato in migliaia di computer.

Solo un paio di giorni fa Kaspersky Lab ha sottolineato che l’attacco “è stato avviato tramite un’esecuzione di codice remoto SMBv2 in Microsoft Windows. Questo exploit (con il nome “EternalBlue”) è stato reso disponibile su Internet attraverso il deposito di Shadowbrokers il 14 aprile 2017 e patchato da Microsoft il 14 marzo.

Come abbiamo già scritto, EternalBlue e DoublePulsare sono infatti gli exploits utilizzati dall’organizzazione che diffonde WannaCry. Gli exploit sono stati trapelati online verso le vacanze di Pasqua da The Shadow Brokers. Questo exploit riguarda principalmente i problemi nei sistemi Windows in modo che chiunque che non sia ancora infetto da questo virus è fortemente consigliato di eseguire il backup dei propri sistemi e di aggiornarlo.

Detto questo, MS17-010 è una patch per versioni più recenti di Windows, come Windows 7 e Windows 8.1, Windows Server 2008, Windows Server 2012 e Windows Server 2016 inclusi.

Visto che il ransomware è in continua evoluzione e altera i suoi modi di distribuzione, le mitigazioni contro di esso sono più importanti che mai.

Non bloccare i domini associati a WannaCry Ransomware

Secondo il Centro britannico di sicurezza informatica:

Il lavoro svolto nella comunità di ricerca sulla sicurezza ha impedito un certo numero di potenziali compromessi. Per trarne vantaggio, un sistema deve essere in grado di risolvere e connettersi al dominio sottostante quando viene compromesso.
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
A differenza della maggior parte delle infezioni provocati dai software maliziosi, il tuo reparto IT non dovrebbe bloccare questo dominio.

Oltre a non bloccare i domini di WannaCry, gli esperti di sicurezza concordano su 5 punti di mitigazione comuni che dovrebbero essere adottati sia dagli utenti domestici che dagli amministratori IT.

MS17-010 deve essere installato

Come spiegato da Microsoft, “l’aggiornamento della protezione risolve le vulnerabilità correggendo come SMBv1 gestisce le richieste appositamente create“. È estremamente importante che tutti gli aggiornamenti del sistema siano installati una volta disponibili. Questo è un ottimo modo per prevenire le infezioni attivate dal fallo MS17-010. Tieni presente che se il tuo sistema non è stato aggiornato con questa patch, dovrebbe essere rimosso da tutte le reti il più presto possibile.

Dovrebbe essere installata la patch di emergenza di Windows

A quanto pare, Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza per più sistemi operativi che non supporta più per aiutare le organizzazioni a proteggersi contro l’inarrestabile scoppio del ransomware WannaCry.

SMBv1 dovrebbe essere disabilitato

Secondo il NSCS, se non è possibile applicare queste patch, SMBv1 dovrebbe essere disattivato. Ecco come farlo.

SMBv1 dovrebbe essere bloccato

Come metodo alternativo, le porte SMBv1 dovrebbero essere bloccate su dispositivi di rete – UDP 137, 138 e TCP 139, 445 – come raccomandato da NCSC.

Arresto complete dei sistemi vulnerabili

Se alcuna delle soluzioni sopra elencate non è disponibile, NCSC raccomanda di terminare i sistemi vulnerabili. “Se questi passaggi non sono possibili, la propagazione può essere impedita chiudendo i sistemi vulnerabili”, ha suggerito l’organizzazione.

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.