Wannacry: come proteggersi dall’attacco dell’ennesimo ransomware?
Come evitare di diventare l’ennesima vittima del virus informatico che segnerà Maggio 2017 come il mese nero in cui è scoppiata la più grande epidemia cyberinformatica su scala globale?
Come mettere in sicurezza il proprio patrimonio di dati evitando di pagare un riscatto in 300 dollari di bitcoin (che diventano poi 600)?
Come funziona Wannacry e perché l’infezione riesce a criptare tutti i file presenti su un computer (al punto che solo il 16 maggio sono stati colpiti più di duecentomila pc in oltre 100mila organizzazioni di 150 Paesi, Italia inclusa)?
Wannacry, ovvero: Ooops, your files have been encrypted!
Prima di darvi spiegazioni e consigli su come evitare il danno, qualche nota su come nel secondo millennio gli hacker abbiano predisposto la beffa. Il fatto che il cybercrime sia sgamato ed espertissimo in tecnologie digitali lo si sapeva da un pezzo. Che sia diventato anche un genio del male del marketing e del CRM rende il tutto estremamente più irritante. Il messaggio che Wannacry fa apparire sullo schermo, quando ha colpito, è un capolavoro di psicologia. Il copy di servizio spiega come i vostri file preziosi siano stati criptati e come tutto il capitale di video, foto, documenti e database non sia più accessibile. Mentre la consapevolezza del danno diventa direttamente proporzionale alla depressione post attacco, ecco una luce di speranza: non è il caso di perdere tempo a trovare un modo per recuperarli. A pagamento, in maniera semplice ed estremamente funzionale, gli hacker lo faranno per voi. Così, dopo la sindrome di Stoccolma, per la gratitudine di sittanta disponibilità a qualcuno scatterà senz’altro la sindrome di Wannacry. Per chi poi non si fida, c’è il bonus della prova provata: è possibile, infatti, sbloccare qualche file in versione Freemium.
Oltre ad aver sviluppato il malware, il cybercrime ha sviluppato un copy impeccabile, con tanto di call to action finale. La captatio benevolentiae recita una progressione perfetta:
- Cosa è successo al mio computer? (segue risposta)
- Come posso recuperare i miei file? (segue risposta)
- Come posso pagare? (segue risposta)
- Manda 300 dollari di bitcoin a questo indirizzo, seguito da due bottoni (controlla il pagamento – decripta i tuoi dati)
Gli autori di Wannacry, evidentemente esperti di CRM, hanno addirittura predisposto un help desk che guida gli utenti nelle procedure di quello che a tutti gli effetti è un servizio, con tanto di indicazioni sugli orari per effettuare il controllo del pagamento.
Se non siete supersperti di informatica, con alle spalle soluzioni e sistemi di ripristino costosi e superprofessionali, non c’è modo di ingaggiare il processo di decriptazione: il tempo è tiranno. Gli hacker, infatti, vi danno solo tre giorni di tempo, dopodichè cancelleranno tutto e potrete dire addio ai vostri dati. A ricordarvelo un doppio counter: quello che temporizza la scadenza del pagamento e quello che vi ricorda quanto tempo vi resta prima di perdere per sempre i vostri file.
La pesca a strascico degli hacker
L’attacco ransomware di Wannacry è stato un ceppo di malware che è stato spostato lateralmente all’interno delle reti facendo leva su un bug in Windows SMBv1 e SMBv2. Ha colpito qualsiasi computer Windows senza la debita patch di Windows MS17-010 che Microsoft aveva rilasciato a marzo (ricordando a tutti quanto il patch management sia fondamentale per garantire la sicurezza).
La viralizzazione di Wannacry avviene tramite finte email: dopo l’installazione automatica, possono essere infettati altri sistemi presenti sulla stessa rete senza intervento umano. Una volta criptati i file, viene aggiunta l’estensione .WCRY e l’accesso non solo risulta bloccato ma è impossibile riavviare il sistema. A quel punto, appare il file @Please_Read_Me@ con la richiesta di riscatto (inizialmente di 300 dollari ma poi elevati a 600), che l’utente deve pagare in bitcoin.
Wannacry il 12 maggio 2017 ha infettato i sistemi informatici di numerose aziende e organizzazioni di tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell’interno russo, l’Università degli Studi di Milano-Bicocca. Il malware, dunque, ha colpito scuole, ospedali, aziende, operatori delle TLC dimostrando che non c’è barriera e non c’è settore immune al virus. Così oggi il ransomware è salito alle cronache ricordando a tutti che la sicurezza informatica non è una chimera inventata dai consulenti, ma una conseguenza della digital transformation che porta innumerevoli vantaggi ma anche qualche cambio di guardia nella governance dei sistemi (indipendentemente dalle dimensioni e dalle geografie).
L’ammontare dei riscatti non ha fatto diventare miliardario nessuno: gli esperti di Techtarget parlano di 26mila dollari. Insomma la tattica è quella della pesca a strascico: si butta la rete e qualcosa si tira su, ma il fermo macchina ha un grosso impatto sulle persone e sulle aziende.
Gli analisti ricordano come, grazie alle funzionalità dei più moderni software di backup che includono la gestione degli snapshot, elementi di Disaster Recovery, supporto dei servizi in cloud, protezione delle Virtual Machine, oggi sia possibile fare molto di più che semplicemente ripristinare i dati in caso di errori, soprattutto a livello di storage o di server.
I consigli degli esperti per proteggersi da Wannacry (e dai ransomware)
L’attacco Ransomware di WannaCry mette a fuoco ciò che le organizzazioni (e i singoli professionisti) devono fare per proteggere il proprio patrimonio informativo dai malware. Non c’è niente come un incidente che infetta centinaia di migliaia di computer in tutto il mondo per mettere in luce un problema ma gli esperti ricordano come il fenomeno dei ransomware esista da anni, con vari casi di clienti che sono riusciti a sopravvivere senza pagare il riscatto. Tuttavia, la sopravvivenza richiede una strategia efficace capace di giocare d’anticipo rispetto all’attacco. In questo contesto le tecnologie di protezione dei dati e le migliori pratiche di backup sono fondamentali per mitigare i danni che gli attacchi ransomware possono infliggere alle organizzazioni.
A raccomandare di eseguire il backup regolarmente come uno dei modi migliori per battere il ransomware è nientemeno che l’FBI, che suggerisce, inoltre, di verificare l’integrità di tali backup e di prevedere sistemi adeguati di protezione anche dei backup. I backup ottimali sono protetti quando vengono mantenuti offline dagli ambienti di produzione, poiché i virus di ransomware possono anche corrompere le copie di backup. Snapshopt e dedupliche possono essere invece vulnerabili agli attacchi di ransomware a effetto ritardato.
Solution provider come Unitrends, Zerto, Commvault, Acronis, Barracuda, Infrascale, Asigra, Druva e Datto hanno aggiunto caratteristiche che dicono proteggeranno dal ransomware. I fornitori di storage forniscono inoltre strumenti di reporting che possono aiutare a proteggere dal ransomware avvisando gli utenti delle anomalie che si verificano nei file. L’idea è di utilizzare il rilevamento di pattern su dati e file per avvisare gli amministratori di livelli di crittografia inusuali il che consente di intervenire e limitare i danni dell’attacco.
Foster, infatti, consiglia agli amministratori di avere una più dettagliata conoscenza operativa del numero di modifiche che si verificano nei loro file server, con un monitoraggio vicino alla mappatura. Così, se si riceve da un server che ha un tasso di cambiamento medio pari al 1%, un messaggio di avviso in cui la percentuale risulta lievitata al 90% è chiaramente un sintomo che sta succedendo qualcosa. Un altro suggerimento da parte di Gartner è di introdurre un honey pot in cui innestare un paio di tipi di file predisposti in un sistema, in modo tale che un amministratore possa ricevere un segnale quando un ransomware inizia a infettare un determinato tipo di file (il che si rivela molto utile nel caso accada a più di una macchina).
