WannaCry: come rimediare?
WannaCry: ciò che è accaduto sottolinea quanto sia importante mantenere le reti e i sistemi regolarmente aggiornati perché siano al riparo dai cyber-attacchi
L’impatto di WannaCry può essere pervasivo e distruttivo, ma c’è un interruttore di emergenza nel ransomware che se utilizzato correttamente evita la sua diffusione. Come comportarsi?
Le macchine in sleep mode non sono infette, ma hanno bisogno di una patch immediata
In base alle nostre simulazioni e analisi su WannaCry, l’attacco non ha successo se le machine sono in sleep mode, anche se il Transmission Control Protocol (TCP) port 445 è aperto e senza patch. Parte dell’attacco di WannaCry si basa sul connettersi e infettare altre macchine. Se il ransomware prova a connettersi a una macchina in sleep mode riceve un ‘socket error’ e non riesce ad accedere. Di conseguenza il malware si sposta verso l’IP successivo. Questo dà ai responsabili IT una finestra temporale per agire. Possono infatti mitigare e prevenire l’attacco patchando immediatamente la vulnerabilità.
Cosa succede quando si ‘sveglia’ la macchina?
WannaCry scansiona la LAN del sistema allo stadio iniziale dell’infezione e numera tutti gli IP. Nel caso la LAN della macchina infetta sia già stata numerata e una macchina vulnerabile nella rete sia in sleep mode, viene saltata dal ransomware. Per questo, quando un utente sveglia una macchina non infetta all’interno della rete infetta, questa non viene infettata. Questa è un’opportunità che concede al responsabile IT il tempo per apportare le patch necessarie e aggiornare il sistema.
Riavviando la macchina infettata inizialmente invece, si fa ripartire la scansione LAN. Fortunatamente però, WannaCry ha un ‘interruttore di emergenza’. Parte della routine di infezione di WannaCry consiste nel mandare una richiesta che controlla l’URL/domain. Se la richiesta torna indietro mostrando che l’URL e vivo oppure online, attiverà l’interruttore di emergenza suggerendo a WannaCry di uscire dal sistema e non propagarsi o crittografare. Così, anche se la macchina infetta si riavvia, questo interruttore bloccherà il ransomware. In ogni caso i responsabili IT devono provvedere a patchare e aggiornare il sistema.
E se WannaCry è già nel sistema?
Nel caso mssecvc.exe, uno dei componenti principali di WannaCry, sia già nel sistema, l’interruttore di emergenza impedirà che la componente crittografata di WannaCry venga lasciata cadere nella macchina vulnerabile. Il responsabile IT deve reagire e rimediare, in particolare aggiornando e patchando il sistema.
• La nota completa è disponibile all’interno del blog Trend Micro
• Gli ultimi aggiornamenti su WannaCry sono disponibili a questo link
• L’analisi tecnica di WannaCry è disponibile al seguente link
Contenuti correlati
-
AI in simulazione e HPC con Altair al Farnborough Airshow 2024
Altair porta in mostra le ultime innovazioni nel campo della simulazione ingegneristica, dell’intelligenza artificiale (AI) e del calcolo ad alte prestazioni (HPC) al Farnborough International Airshow 2024, in programma dal 22 al 26 luglio presso il Farnborough...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Olimpiadi 2024: come evitare le cyber truffe
Le Olimpiadi di Parigi 2024 stanno per iniziare. Sono più di 10.000 gli atleti che parteciperanno alla competizione e miliardi le persone che seguiranno questo grande evento. Tra questi, anche i cyber truffatori purtroppo, che ne approfitteranno...
-
Security Summit sbarca a Cagliari
L’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
World Social Media Day: 7 consigli da Trend Micro per i più giovani e i loro genitori
Domani 30 giugno 2024 si celebra la giornata mondiale dei social media. Questi mezzi di comunicazione hanno rivoluzionato il modo in cui ci relazioniamo e condividiamo informazioni. Tuttavia, sono anche oggetto di critiche per questioni legate alla privacy...
-
Il 2023 di Pilz: numeri da record
Fatturato 2023 da record per Pilz, la cui storia di successo prosegue puntando su prodotti e soluzioni di safety e security per la trasformazione dell’industria L’esercizio 2023 di Gruppo Pilz si è chiuso con un fatturato da...
-
Cybersecurity e trasparenza, Fortinet firma le linee guida Secure by Design della CISA
Fortinet ha rafforzato il proprio impegno di lunga data verso una trasparenza radicale e responsabile, essendo tra i primi firmatari delle linee guida Secure by Design sviluppate dalla Cybersecurity and Infrastructure Security Agency (CISA). Questo atto volontario...
-
Malware +349% nel 2023, Trend Micro ha bloccato più di 45 milioni di e-mail ad alto rischio
Nel 2023 Trend Micro ha bloccato 45.261.542 e-mail ad alto rischio. Il dato emerge dall’ultimo Email Threat Landscape Report e dimostra come la posta elettronica, nonostante i quasi 50 anni di età, rimanga lo strumento di comunicazione...
-
Direttiva NIS2: uno studio Zscaler mette in evidenza criticità e opportunità
Una nuova ricerca di Zscaler suggerisce una discrepanza tra la fiducia che le aziende europee hanno di raggiungere l’obiettivo della conformità alla direttiva NIS 2 prima della scadenza del 17 ottobre 2024, quando entrerà in vigore, e...
-
The State of Cloud Native Security 2024, un report di Palo Alto Networks
Con le previsioni di Gartner di una crescita del 20,4% della spesa per i servizi di cloud pubblico quest’anno, in gran parte sulla spinta dell’intelligenza artificiale, il report The State of Cloud Native Security 2024 di Palo...