Dopo il massiccio attacco hacker che ha interessato oltre 100 paesi e 130mila sistema solo pochi giorni fa, la Polizia di Stato italiana ha diramato una serie di dritte e si consigli per potersi difendere dagli attacchi informatici.
Sul sito istituzionale www.poliziadistato.it, ma anche sulle piattaforme Twitter, Instagram e Facebook, la Polizia ha reso noti una serie di consigli quanto meno per contenere i rischi evitando ulteriori problematiche.
Sembra che in Italia non ci siano stati particolari problemi, ma in ogni caso viene anche spiegato che cosa fare di lunedรฌ quando, tornato in ufficio, si รจ di nuovo alle prese con il pc. Come capire se ha subรฌto qualche danno e come evitare di perdere i dati?
Ecco i consigli degli specialisti della Polizia postale:
1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dellโinfezione).
2) Il malware si installa infatti nella macchina โvittimaโ sfruttando il noto bug EternalBlue e deposita lโeseguibile mssecsvc.exe nella directory di sistema C:\windows.
3) Si installa quindi come servizio e procede ad eseguire due attivitร parallele utilizzando diversi eseguibili.
5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilitร suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.
6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attivitร di cifratura. Non รจ ancora noto se รจ anche installato la backdoor DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attivitร , quella di diffusione sulla rete.
Non si escludono ulteriori problematiche legate alla propagazione di unโulteriore versione di โWannaCryโ 2.0, ovvero al riavvio delle macchine per la giornata di domani, inizio della settimana lavorativa.
Pertanto per difendersi dallโattacco, oltre ad eseguire affidabili backup al fine di ย ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, ย si consiglia ย quanto prima di:
Lato client
– eseguire lโaggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
– ย aggiornare software antivirus:
– ย disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message ย ย Block (SMB) e Remote Desktop Protocol (RDP);
– ย il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati ย provenienti da email sospette;
– il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.
Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento ย delle istruzioni (IPS/IDS);
– dove possibile e ritenuto opportuno ย bloccare tutto il traffico in entrata su protocolli: ย Server Message Block (SMB) e Remote Desktop Protocol (RDP).
