Nelle settimane scorse noi di TAG abbiamo osservato attentamente il decorso di Wannacry, il Ransomware che ha colpito più di 200mila computer a livello globale. Un processo che si è evoluto giorno dopo giorno.
Abbiamo anche tentato di capire come mai un fenomeno del genere abbia avuto tanta risonanza, considerato che attacchi di questo tipo sono all’ordine del giorno. La risposta è, ovviamente, che Wannacry ha attaccato contemporaneamente un bacino enorme di individui.
Siamo forse entrati in una nuova era di attacchi informatici su scala globale?
Forse. La cosa che è parsa chiara grazie a questo specifico attacco è la sbalorditiva ingenuità globale in ambito di cyber security. Tutto il mondo ai piedi di un “virus” che poteva facilmente essere bloccato.
Una consapevolezza che ci spaventa non poco.
Quello che possiamo fare, mentre osserviamo svolgersi questo spettacolo (gli ultimi attacchi di Wannacry prevedono anche un manuale d’istruzioni su come pagare i ricattatori, annesso probabilmente dato che il pagamento in bitcoin non era facile a tutti) è aiutare i nostri clienti a proteggersi nel miglior modo possibile da minacce di questo tipo.
Il nostro lavoro è rendere più semplice a te svolgere il tuo.
Perché non possiamo illuderci che Wannacry e Adylkuzz siano le uniche minacce là fuori, nel vasto mondo informatico.
D’altronde gli exploits Eternalblue e DoublePulsar rubati alla NSA e usati per creare i due ransomware sono ancora in circolazione, quindi possono essere liberamente sfruttati.
Ma non possiamo fermarci di fronte alle intimidazioni: dobbiamo tirare fuori gli artigli e dimostrare ai cyber bulli che non ci piegheremo di fronte a nulla.
Per questo vogliamo parlare di nuovo di Avecto Defendpoint.
Questa è la soluzione di TAG a tutte quelle vulnerabilità che possono causare infiltrazioni malware.
Avecto agisce in maniera diversa dai classici antivirus, impedendo in primo luogo alle minacce di venire a contatto coi tuoi dispositivi.
Non si tratta solo di eliminazione di virus, poiché questo significa che il malware è riuscito ad accedere alla tua rete, ma di un vero e proprio scudo, che non permette a soggetti malevoli di attaccarti.
Per rassicurare i suoi clienti, Avecto ha rilasciato uno statement riguardo al fenomeno Wannacry:
Ciao a tutti,
Sono sicuro che tutti voi abbiate guardato lo svolgersi di Wannacry nei giorni scorsi. In risposta a questo attacco ci siamo assicurati di massimizzare i nostri sforzi nel commentare sulla questione e allineare i sistemi Avecto con gli attacchi.
Il nostro messaggio è semplice. Ancora una volta abbiamo visto come minacce significative possono essere eliminate implementando misure di sicurezza proattive. Privilege Management, Whitelisting e Patching applicati devono essere alla base delle strategie di sicurezza per tutte le organizzazioni. La nostra politica è focalizzata sull’educazione ed il rinforzo di questo messaggio.
Importante- Il nostro team ha analizzato esempi del ransomware Wannacry e ha scoperto che se l’user inizialmente infettato non ha pieni diritti amministrativi di server, il malware sarà espulso senza infettare il dispositivo.
Andrew Avanessian mostra gli insight sull’attacco: GUARDA IL VIDEO.
Grazie mille
Sam
Secondo quanto affermato da Avecto, l’attacco Wannacry aveva obiettivo distruttivo prima che di ricatto vero e proprio. Le cifre richieste sono esigue rispetto a quelle richieste da altri ransomware, questo considerata la posizione di vantaggio ottenuta. Da notare che una delle vittime è stato il sistema sanitario inglese, un ente assistenziale ed essenziale. L’attacco era chiaramente mirato a creare disagi enormi.
Le origini sono ad oggi ancora sconosciute, ma quello che Avecto può assicurare è che Defendpoint è in grado di bloccare minacce anche sconosciute grazie alle sue funzioni:
–Whitelisting applicato, una funzione che permette l’accesso ai dispositivi solo a fonti sicure, eliminando alla radice qualsiasi tipo di malware.
– Patching applicato, ovvero una funzione che aggiorna sistemi e mette una “toppa” (“patch” in inglese) su eventuali falle da cui potrebbero entrare malware.
– Limitazioni dei privilegi di admin (Privilege Management). È stato provato che Wannacry ha avuto la possibilità di installarsi esclusivamente su dispositivi con questi privilegi. Questa funzione è quindi fondamentale per eliminare le minacce.
Usiamo questo grafico del Wall Street Journal che mostra Wannacry all’opera per mostrare come Avecto si muove di fronte a questi malware:
Privilege Management il ransomware non riesce ad infettare il dispositivo perché necessita dei privilegi amministrativi che Avecto concede a pochissimi utenti. La minaccia viene quindi già ostacolata al primo livello.
Whitelisting questa viene isolata dai dati sicuri e, riconosciuta come malevola.
Sandboxing ovvero la collocazione in una zona separata dai dati sicuri.
Avecto quindi non permette alla minaccia di superare la sua barriera, bloccandolo a monte del problema.
Nessuno ha tutte le risposte ai problemi di cyber security, questo perché è un campo in continuo e costante sviluppo, ma l’approccio che Avecto ha applicato al problema è stato riconosciuto come il più effettivo.
Wannacry è solo uno dei tantissimi esempi che ti ricordano l’importanza di avere basi di sicurezza solide per i dispositivi endpoint.
Se ancora non l’hai fatto CONTATTA TAG per avere maggiori informazioni. Pensiamo noi alla tua sicurezza informatica!
Comments