WannaCry: come rimediare?
WannaCry: ciò che è accaduto sottolinea quanto sia importante mantenere le reti e i sistemi regolarmente aggiornati perché siano al riparo dai cyber-attacchi
L’impatto di WannaCry può essere pervasivo e distruttivo, ma c’è un interruttore di emergenza nel ransomware che se utilizzato correttamente evita la sua diffusione. Come comportarsi?
Le macchine in sleep mode non sono infette, ma hanno bisogno di una patch immediata
In base alle nostre simulazioni e analisi su WannaCry, l’attacco non ha successo se le machine sono in sleep mode, anche se il Transmission Control Protocol (TCP) port 445 è aperto e senza patch. Parte dell’attacco di WannaCry si basa sul connettersi e infettare altre macchine. Se il ransomware prova a connettersi a una macchina in sleep mode riceve un ‘socket error’ e non riesce ad accedere. Di conseguenza il malware si sposta verso l’IP successivo. Questo dà ai responsabili IT una finestra temporale per agire. Possono infatti mitigare e prevenire l’attacco patchando immediatamente la vulnerabilità.
Cosa succede quando si ‘sveglia’ la macchina?
WannaCry scansiona la LAN del sistema allo stadio iniziale dell’infezione e numera tutti gli IP. Nel caso la LAN della macchina infetta sia già stata numerata e una macchina vulnerabile nella rete sia in sleep mode, viene saltata dal ransomware. Per questo, quando un utente sveglia una macchina non infetta all’interno della rete infetta, questa non viene infettata. Questa è un’opportunità che concede al responsabile IT il tempo per apportare le patch necessarie e aggiornare il sistema.
Riavviando la macchina infettata inizialmente invece, si fa ripartire la scansione LAN. Fortunatamente però, WannaCry ha un ‘interruttore di emergenza’. Parte della routine di infezione di WannaCry consiste nel mandare una richiesta che controlla l’URL/domain. Se la richiesta torna indietro mostrando che l’URL e vivo oppure online, attiverà l’interruttore di emergenza suggerendo a WannaCry di uscire dal sistema e non propagarsi o crittografare. Così, anche se la macchina infetta si riavvia, questo interruttore bloccherà il ransomware. In ogni caso i responsabili IT devono provvedere a patchare e aggiornare il sistema.
E se WannaCry è già nel sistema?
Nel caso mssecvc.exe, uno dei componenti principali di WannaCry, sia già nel sistema, l’interruttore di emergenza impedirà che la componente crittografata di WannaCry venga lasciata cadere nella macchina vulnerabile. Il responsabile IT deve reagire e rimediare, in particolare aggiornando e patchando il sistema.
• La nota completa è disponibile all’interno del blog Trend Micro
• Gli ultimi aggiornamenti su WannaCry sono disponibili a questo link
• L’analisi tecnica di WannaCry è disponibile al seguente link
Contenuti correlati
-
Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia
La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...
-
Nell’ultimo numero di KEYnote, la rivista di Wibu-Systems: proteggere i modelli di AI e ML
L’ultimo numero della rivista KEYnote, la pubblicazione semestrale presentata dagli specialisti di protezione e licensing di Wibu-Systems, è appena stata rilasciata ed è disponibile in vari formati digitali di facile lettura. L’edizione Autunno/Inverno copre una vasta gamma...
-
Omron Europe ottiene la certificazione IEC 62443-4-1
Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...
-
Advantech lancia il servizio di certificazione IEC 62443
Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...
-
Nuovo controller nella piattaforma di automazione Yaskawa in SPS
In occasione di SPS Norimberga, Yaskawa continua l’espansione della sua piattaforma di automazione ‘iCube Control’, presentando il controller serie iC9226 in funzione. Il controller iC9226 funziona con il chip industriale Triton di Yaskawa e può controllare fino...
-
Certificazione UL dei cavi per il mercato nordamericano con LAPP
Il mercato nordamericano, e quello statunitense in particolare, sono mercati fondamentali per i produttori italiani di macchinari industriali, le cui soluzioni sono particolarmente apprezzate per qualità, alto livello di personalizzazione e attenzione ai dettagli. Avere successo in...
-
Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informatica
Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi...
-
Black-out digitale: le fabbriche italiane nel mirino dei criminali informatici?
Consideriamo uno scenario plausibile: un attacco ransomware compromette i sistemi OT di un’azienda manifatturiera, crittografando i sistemi di controllo di robot e macchine utensili. L’impatto? Linee di produzione bloccate, interruzione delle attività e richieste di riscatto milionarie....
-
Massima precisione nonostante le temperature estreme
Le soluzioni sviluppate da VEGA sono in grado di garantire le prestazioni e l’affidabilità dei sensori anche negli ambienti più ostili e in presenza di prodotti aggressivi. Il sensore radar VEGAPULS 6X di VEGA, nell’esecuzione studiata per...
-
Security Summit, in 200 a Verona per fare il punto sulla cybersecurity
Si è conclusa con successo la 13a edizione di Security Summit Verona, il convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, con Astrea, agenzia di comunicazione ed eventi specializzata nel settore della sicurezza informatica: oltre 200...