NPO Sistemi Attacco Ransomware WannaCry

Come proteggere la tua azienda sempre

Come funziona

Da qualche giorno una nuova variante di ransomware, denominata WannaCry, si sta diffondendo a livello mondiale sfruttando una vulnerabilità del protocollo SMBv1 (Server Message Block) presente sui sistemi operativi Windows.
Il ransomware, una volta infettato un target, cripta i seguenti file: 

.123 .brd .docm .jpeg .mpg .pfx .rb .sxd .vsdx
.602 .bz2 .docx .jpg .msg .php .rtf. .sxi .wav
.3dm .c .dot .js .myd .pl .sch .sxm .wb2
.3ds .cgm .dotm .jsp .myi .png .sh .sxw .wk1
.3g2 .class .dotx .key .nef .pot .sldm .tar .wks
.3gp .cmd .dwg .lay ,odb .potm .sldx .tbk .wma
.7z .cpp .edb .lay6 .odg .potx .slk .tgz .wmv
.accdb .crt .eml .ldf .odp .ppam .sln .tif .xlc
.aes .cs .fla .m3u .ods .pps .snt .tiff .xlm
.ai .csr .flv .m4u .odt .ppsm .sql .txt .xls
.ARC .csv .frm .max .onetoc2 .ppsx .sqlite3 .uop .sxlb
.asc .db .gif .mdb .ost .ppt .sqlitedb .uot .xlsm
.asf .dbf .gpg .mdf .otp .pptm .stc .vb .xlsx
.asm .dch .gz .mid .ots .pptx .std .vbs .xlt
.asp .der .h ,mkv .ott .ps1 .sti .vcd .xltm
.avi .dif .hwp .mml .p12 .psd .stw .vdi xltx
.backup .dip .ibd .mov .PAQ .pst .suo .vdmk .zip
.bak .djvu .iso .mp3 .pas .rar .svg .vmx  
.bat .doc .jar .mp4 .pdf .raw .swf .vob  
.bmp .docb .java .mpeg .pem .rd .sxc .vsd  

Il Sistema Operativo risulta compromesso fino all’eventuale pagamento del quantitativo di Bitcoin richiesti dal ransomware in oggetto (fatto salvo che il consiglio è sempre quello di non pagare quanto richiesto per non alimentare la diffusione di questa tipologia di vettori malevoli) o fino al completo ripristino/reinstallazione da zero del target compromesso.

La patch protegge i target solo dall’infezione propagata da altri target già infetti sfruttando la vulnerabilità del protocollo SMBv1.
Un target infetto, sia che sia protetto, sia che non lo sia, può infettare altri target non protetti, ma non può comunque infettare altri target protetti.

Come si propaga

 L’infezione si propaga anche a causa dei comportamenti degli utenti:
•    aprendo allegati malevoli;
•    accedendo a siti malevoli;
•    accedendo a siti legittimi, ma compromessi in modo da diventare vettori del ransomware;
•    mediante supporti di archiviazione rimuovibili (CD e DVD, chiavette, dischi esterni, fotocamere digitali, smartphone, etc) che ospitino file malevoli.

Come difendersi

Al fine di prevenire la diffusione nella vostra organizzazione di questa tipologia di minaccia informatica, vi suggeriamo alcune azioni cautelative:

  1. Adottare una strategia di backup efficace che consenta il rapido ripristino dei sistemi compromessi, possibilmente prevedendo una copia dei backup “off-line”.
  2. Installare immediatamente le patch di sicurezza.
  3. Chiusura di tutte le porte non utilizzate sul firewall perimetrale, in particolare verificare che siano chiuse dall’esterno verso l’interno le seguenti porte:
    • TCP Port 137
    • TCP Port 139
    • TCP Port 445
    • UDP Port 137
    • UDP Port 138
  4. Definire una Group Policy Object (GPO) che abbia validità sia sui client che sui server per disabilitare l’esecuzione dei file contenenti l’estensione WNCRY.
  5. All’interno di una infrastruttura, la presenza delle seguenti componenti costituisce una prevenzione pressoché totale nei confronti di malware di questo tipo:

5.1 Un UTM integrato con l’End Point:
L’UTM (Unified Threat Management) è una piattaforma di sicurezza basata su appliance HW modulari, posta a protezione della frontiera, che consente di integrare mediante attivazione delle relative licenze, anch’esse modulari, le principali funzionalità avanzate di protezione delle infrastruttura informatiche (per dettagli si suggerisce il seguente link: https://www.sophos.com/it-it/security-news-trends/security-trends/securing-your-network-with-utm/what-is-utm.aspx).

Con riferimento alle minacce odierne, il più importante vantaggio della soluzione Sophos rispetto ad altre soluzione di Next Generation Firewall, consiste nella funzionalità di Synchronized Security (o Security Heartbit) ovverosia la comunicazione tra UTM ed End Point che consente all’UTM di isolare automaticamente dalla rete i client infetti.

Grazie ai meccanismi di riconoscimento del traffico implementati nell’UTM, esso è in grado di intercettare il traffico che dalla rete interna tenta di accedere al Server di Comando e Controllo interrompendo in origine la continuazione dell’attacco e la propagazione del malware (richiesta e donwload del codice malevolo e di chiavi crittografiche).

5.2 Il prodotto Sophos InteceptX:

Sophos InterceptX è un tool definito Second Opinion Antivirus, ovverosia una soluzione di protezione del client che può anche affiancarsi all’End Point eventualmente già presente (indipendentemente dal produttore) innalzando il livello di sicurezza. La soluzione basa la proprio attività sul concetto di “analisi comportamentale” ed interviene quando riconosce un processo malevolo bloccandolo, ripristinando l’environment e informando l’admin.

Con particolare riferimento alla recente diffusione del ramsomware WannaCry, risulta particolarmente efficace uno dei moduli di Sophos InterceptX denominato CryptoGuard.

CryptoGuard è un’ innovazione anti-ransomware che identifica e intercetta attività maligne di crittografia, blocca i ransomware prima che possano compromettere il sistema e può ripristinare i file infettati al loro status precedente all’attacco (per dettagli si suggerisce il seguente link: https://www.sophos.com/it-it/products/intercept-x/tech-specs.aspx).

 

Per maggiori informazioni: info_marketing@nposistemi.it
Npo Sistemi è Gold Partner Sophos e  2017 Western Europe TOP Performer of the Year da Sophos

 

 

 

ISCRIVITI ALLA NEWSLETTER

ISCRIVITI ALLA NEWSLETTER

SEGUICI SU:

linkedin google

ACCEDI AI SERVIZI NPO

ACCEDI AI SERVIZI NPO