La diffusione senza precedenti del Trojan ransomware WannaCry ha causato un’epidemia mondiale che ha colpito sia gli utenti che usano il PC a casa sia le aziende. Abbiamo già pubblicato un articolo con qualche nozione base su WannaCry e in questo post daremo ulteriori consigli alle aziende. È abbastanza urgente e importante sapere cos’è WannaCry, come si diffonde, quali sono i pericoli che questo rappresenta e come bloccarlo.
Cosa fare adesso?
Uno dei motivi fondamentali per cui il Trojan si è diffuso così velocemente è dovuto al fatto che questo si trasmette utilizzando un exploit, accedendo attraverso una nota vulnerabilità di Windows senza che ci sia bisogno dell’intervento dell’utente (quindi di errori). Una volta che il computer viene infettato, il malware prova a diffondersi in tutti gli altri sistemi della rete locale.
Di conseguenza, la prima cosa da fare è risolvere la vulnerabilità. Gli amministratori di sistema devono adottare le seguenti misure:
- Installare l’aggiornamento di Microsoft. È disponibile non solo per Windows 10 ma anche per le versioni precedenti: Windows 8, 7, Vista e anche per Windows XP e Server 2003. Questo aggiornamento risolve la vulnerabilità che il ransomware utilizza per infettare i sistemi all’interno della rete locale.
- Se per qualsiasi motivo non dovesse esser possibile installare l’aggiornamento, chiudere la porta 445 utilizzando il firewall. Questo bloccherà l’attacco del worm alla rete ed eviterà l’infezione. Ad ogni modo, questa misura dovrebbe essere considerata una soluzione provvisoria. Chiudere questa porta bloccherà una serie di importanti servizi di rete, quindi non si tratta di una soluzione nel vero senso della parola.
- Assicurarsi che tutti i sistemi nella rete siano protetti. Questo punto è fondamentale: se non sono stati aggiornati tutti i sistemi o non è stata chiusa la porta 445, un computer infetto potrebbe infettare tutti gli altri.
- Consigliamo di utilizzare anche lo strumento gratuito Kaspersky Anti-Ransomware Tool che protegge dai cryptomalware. Può anche essere utilizzato con altre soluzioni antimalware; è compatibile con le soluzioni di sicurezza più conosciute e non interferisce con le loro operazioni.
Se utilizzate già le soluzioni di Kaspersky Lab
Gli attuali utenti sono già protetti dai ransomware, incluso da WannaCry. Ad ogni modo, consigliamo di adottare un paio di misure preventive extra.
- Assicuratevi di avere installato l’aggiornamento di Microsoft.
- Assicuratevi che la vostra soluzione di sicurezza includa il modulo di rilevamento con comportamento proattivo System Watcher e che questo sia attivo. In questo link troverete le istruzioni.
- Se ci sono stati casi di infezione nella vostra rete locale, effettuate una scansione. Questa funzione verrà avviata in maniera automatica, ma prima si agisce meglio è. In teoria, il malware potrebbe essersi installato da solo nel sistema ma non ha ancora iniziato a criptare i file.
- Se durante le scansione viene rilevata la minaccia MEM:Trojan.Win64.EquationDrug.gen, rimuovetela e riavviate il sistema.
Se nelle vostre reti ci sono sistemi embedded
I sistemi embedded sono particolarmente vulnerabili a WannaCry, soprattutto perché tendono ad essere meno protetti. E sebbene i bancomat e i POS siano generalmente protetti da soluzioni specifichee, la protezione di sistemi come i terminali informativi viene spesso trascurata. Ad ogni modo, rimettere in sesto questi sistemi potrebbe costare una fortuna, soprattutto se la vostra azienda ne utilizza a centinaia.
Qpark jist fell victim of the WannaCry ransomware as well. pic.twitter.com/CkZX4xz89i
— Rickey Gevers (@UID_) May 13, 2017
Webinar d’emergenza su WannaCry
Per aiutare le aziende a conoscere il ransomware WannaCry e a difendersi da questo, i nostri esperti hanno deciso di organizzare un webinar d’emergenza. Juan Andres Guerrero-Saade, senior security researcher del nostro Global Research and Analysis Team sarà affiancato da Matt Suiche della Comae Technologies per aiutarlo a presentare le ultimissime informazioni su come il ransomware viola le difese di sicurezza, così come ad esporre anche le successive fasi d’attacco.
I due esperti spiegheranno come le aziende possono capire di essere state infettate e diranno quali sono le azioni critiche da intraprendere per proteggere le loro reti e i loro endpoint da questa minaccia. Inoltre, parleranno della possibile connessione tra WannaCry e il famigerato Lazarus Group.