WannaCry: come rimediare?
WannaCry: ciò che è accaduto sottolinea quanto sia importante mantenere le reti e i sistemi regolarmente aggiornati perché siano al riparo dai cyber-attacchi
L’impatto di WannaCry può essere pervasivo e distruttivo, ma c’è un interruttore di emergenza nel ransomware che se utilizzato correttamente evita la sua diffusione. Come comportarsi?
Le macchine in sleep mode non sono infette, ma hanno bisogno di una patch immediata
In base alle nostre simulazioni e analisi su WannaCry, l’attacco non ha successo se le machine sono in sleep mode, anche se il Transmission Control Protocol (TCP) port 445 è aperto e senza patch. Parte dell’attacco di WannaCry si basa sul connettersi e infettare altre macchine. Se il ransomware prova a connettersi a una macchina in sleep mode riceve un ‘socket error’ e non riesce ad accedere. Di conseguenza il malware si sposta verso l’IP successivo. Questo dà ai responsabili IT una finestra temporale per agire. Possono infatti mitigare e prevenire l’attacco patchando immediatamente la vulnerabilità.
Cosa succede quando si ‘sveglia’ la macchina?
WannaCry scansiona la LAN del sistema allo stadio iniziale dell’infezione e numera tutti gli IP. Nel caso la LAN della macchina infetta sia già stata numerata e una macchina vulnerabile nella rete sia in sleep mode, viene saltata dal ransomware. Per questo, quando un utente sveglia una macchina non infetta all’interno della rete infetta, questa non viene infettata. Questa è un’opportunità che concede al responsabile IT il tempo per apportare le patch necessarie e aggiornare il sistema.
Riavviando la macchina infettata inizialmente invece, si fa ripartire la scansione LAN. Fortunatamente però, WannaCry ha un ‘interruttore di emergenza’. Parte della routine di infezione di WannaCry consiste nel mandare una richiesta che controlla l’URL/domain. Se la richiesta torna indietro mostrando che l’URL e vivo oppure online, attiverà l’interruttore di emergenza suggerendo a WannaCry di uscire dal sistema e non propagarsi o crittografare. Così, anche se la macchina infetta si riavvia, questo interruttore bloccherà il ransomware. In ogni caso i responsabili IT devono provvedere a patchare e aggiornare il sistema.
E se WannaCry è già nel sistema?
Nel caso mssecvc.exe, uno dei componenti principali di WannaCry, sia già nel sistema, l’interruttore di emergenza impedirà che la componente crittografata di WannaCry venga lasciata cadere nella macchina vulnerabile. Il responsabile IT deve reagire e rimediare, in particolare aggiornando e patchando il sistema.
• La nota completa è disponibile all’interno del blog Trend Micro
• Gli ultimi aggiornamenti su WannaCry sono disponibili a questo link
• L’analisi tecnica di WannaCry è disponibile al seguente link
Contenuti correlati
-
Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informatica
Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi...
-
Black-out digitale: le fabbriche italiane nel mirino dei criminali informatici?
Consideriamo uno scenario plausibile: un attacco ransomware compromette i sistemi OT di un’azienda manifatturiera, crittografando i sistemi di controllo di robot e macchine utensili. L’impatto? Linee di produzione bloccate, interruzione delle attività e richieste di riscatto milionarie....
-
Massima precisione nonostante le temperature estreme
Le soluzioni sviluppate da VEGA sono in grado di garantire le prestazioni e l’affidabilità dei sensori anche negli ambienti più ostili e in presenza di prodotti aggressivi. Il sensore radar VEGAPULS 6X di VEGA, nell’esecuzione studiata per...
-
Security Summit, in 200 a Verona per fare il punto sulla cybersecurity
Si è conclusa con successo la 13a edizione di Security Summit Verona, il convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, con Astrea, agenzia di comunicazione ed eventi specializzata nel settore della sicurezza informatica: oltre 200...
-
Servizio ai clienti in un podcast nella proposta di automazione Turck Banner
Turck Banner Italia ha avviato una nuova iniziativa per coinvolgere i propri clienti con una modalità in cui il contenuto tecnico si integra in una forma di comunicazione diretta come una telefonata di lavoro, ma trasposta in...
-
Soluzioni di automazione su misura Keba in SPS 2024
Keba Industrial Automation sarà presente SPS 2024 di Norimberga (Pad. 7, Stand 470) dove punterà su soluzioni integrate, digitalizzazione e intelligenza artificiale. La versatilità del portfolio prodotti si riflette in Kemro X, la piattaforma aperta e flessibile...
-
Wibu-Systems guiderà tour esclusivi a SPS 2024, mostrando CodeMeter in azione
Wibu-Systems ospiterà tour guidati esclusivi ad SPS 2024, l’evento principe nel campo dell’automazione, che si terrà a Norimberga, Germania, dal 12 al 14 novembre 2024. Tra gli innovatori ivi riuniti, Wibu-Systems dimostrerà come la sua tecnologia di...
-
L’uso del PA12 colorato nella manifattura industriale: una soluzione innovativa
In ambito industriale, l’identificazione rapida e precisa delle componenti è fondamentale per garantire sicurezza ed efficienza operativa. Un esempio emblematico è rappresentato dal tappo dell’olio motore, comunemente di colore giallo. Questa scelta cromatica permette agli operatori di...
-
Troppi IoT? L’Industria 4.0 ha bisogno di sicurezza
Nell’era dell’Industria 4.0 le esigenze di interconnessione ed efficienza portano con sé una necessità fondamentale: la sicurezza. Adottare l’IoT e altre tecnologie per sviluppare processi e pratiche aziendali più efficienti e sostenibili può essere un’arma a doppio...
-
Direttiva NIS 2: un’opportunità per la sicurezza
Sei fasi per gestire il processo di conformità alla Direttiva NIS 2 e migliorare la sicurezza informatica di settori critici per la vita di tutti Le nuove norme di sicurezza, come la Direttiva NIS 2, mirano a...