Le conseguenze dell’NSA “fanno piangere” gli ospedali

snowdenOspedali e non solo in tutto il mondo sono stati attaccati da un gruppo di ricattatori che hanno bloccato i computer e chiesto un riscatto per liberare le macchine. Secondo le ricostruzioni, i criminali hanno usato un software che era stato rubato all’NSA dall’entità chiamata Shadow Brokers (Intercept, Arstechnica). Tutti i siti di informazione stanno informando su come funziona questo genere di attacco (Telegraph), che cos’è il software usato per l’azione, chiamato Wannacry (Sophos, Symantec), e che cosa si può fare per difendersi (Howtoremove). Secondo molti osservatori, la Nsa ha messo in pericolo il mondo con le sue pratiche invasive e imprudenti (Fortune). Sta di fatto che un potere immenso come quello che i governi americani hanno lasciato accumulare all’Nsa è una tentazione enorme. E se qualcosa va storto è una minaccia letale. Il tutto viene ottenuto calpestando i diritti dei cittadini americani e soprattutto non americani. Amnesty International ha chiesto di perdonare e ringraziare Edward Snowden per quello che ha fatto per far conoscere le pratiche dell’NSA. Le compagnie che come Apple hanno cominciato a opporsi al governo che pretende di poter avere sempre accesso alle loro tecnologie hanno probabilmente ragione.

Vedi Carola Frediani e Mauro De Corno che sente anche Stefano Zanero.

I comunicati fioccano:

Attacco cyber in corso: dati gravi, intervenire subito  
Milano, 13 maggio 2017 – Cyber Alliance Italia “cyai” in merito all’attacco in corso, definito dai più quotati esperti internazionali “il più grande attacco informatico della storia”, ritiene sia un ulteriore grave fatto anche per le dimensioni e la consistenza in Italia. Viene così confermata l’urgente necessità di avviare un piano volto alla concreta prevenzione e cultura della sicurezza in rete.

Non va dimenticato che le percentuali di incremento riportate nell’ultimo rapporto del Clusit 2017, erano già allarmanti prima di questo ulteriore attacco. Solo per fare alcuni esempi: nel 2016 è cresciuta del 117% la “guerra delle informazioni”, addirittura è a quattro cifre l’incremento degli attacchi compiuti con tecniche di Phishing/Social Engineering (+1.166%). La sanità è stato il settore più colpito (+102%) cui segue la grande distribuzione organizzata (+70%) e “solo” terzo il settore Finance/Banche (+64%). Anche gli attacchi alle Infrastrutture Critiche, salite vertiginosamente negli anni scorsi, crescono ancora seppur con un tasso minore (+15%).

Gli attacchi verso Europa e Asia rispetto agli anni precedenti sono in forte incremento e in termini assoluti, il Cybercrime fa registrare il numero di attacchi più elevato degli ultimi 6 anni.

Inoltre all’inizio del 2017 il Security Lab dell’Università Bicocca, parte attiva di cyai, ha registrato nell’area milanese, motore d’Italia e con il triste primato di attacchi seguita da Roma e Cagliari, dei dati allarmanti. Sono di oltre 50 milioni di euro al mese i danni degli attacchi, con 6 server su 10 oggetto di tentativi di intrusione. Un altrettanto importante dato riguarda il crimine generico ovvero la criptatura e il riscatto richiesto in crescita del 30%, per non parlare del furto delle informazioni, con un più 40%. Gli effetti negativi di queste nuove forme di crimini sono l’interruzione dell’operatività che sale del 55%, la perdita di dati in crescita del 50%, la sottrazione di informazioni da parte della concorrenza in salita del 42%, il danno dei immagine al 36%, i costi generali dell’attacco al 34% e infine l’uso improprio di dettagli finanziari anch’esso in aumento del 32%. Queste problematiche sono generate per il 48% da associazioni criminali organizzate, da un 36% di hacker privati e da intrusioni su “mandato” al 16%.

—–

Come un attacco hacker può mettere in ginocchio mezzo mondo – le considerazioni di Check Point Software Technologies

come noto, ieri, 12 maggio 2017, si sono verificati oltre 45000 attacchi hacker che hanno colpito in circa 75 paesi.

L’ attacco hacker provocato dal ransomware WannaCryptor è stato ovviamente individuato anche dal team Incident Response di Check Point.

Numerose organizzazioni a livello mondiale sono state colpite da questo attacco hacker che ha utilizzato e sta utilizzando il protocollo SMB<https://it.wikipedia.org/wiki/Server_Message_Block> (Server Message Block) per propagarsi all’interno delle reti aziendali.

Il vettore d’attacco può presentarsi in numerosi modi, come un link all’interno di una mail, come un link all’interno di un PDF o come un file ZIP crittografato protetto da password che contiene un PDF che dà avvio alla catena di infezione.

Secondo quanto riportato dalla società israeliana specializzata in soluzioni per la sicurezza informatica, il ransomware che ha sferrato l’attacco è la versione 2.0 di WCry, noto come WannaCry o WanaCrypt0r. La versione 1.0 di questo ransomware era stata scoperta lo scorso 10 febbraio<https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-february-10th-2017-serpent-spora-id-ransomware/>, ma il ransomware era stato poco utilizzato. Ieri, invece, la versione 2.0 è stata responsabile di un attacco mondiale che è ancora in corso.

In particolare questo ultimo attacco globale è particolarmente inquietante perché il malware utilizzato oltre a essere un ransomware, rientra nella categoria worm (malware in grado di autoreplicarsi). Il worm si diffonde ad altri computer tramite appunto una mail o una rete di pc. Una volta che il PC viene colpito, il worm crittografa i dati e blocca il dispositivo finché non viene pagato un minimo di $300 in bitcoin. Alcuni riferiscono che questo potrebbe essere stato lanciato dagli strumenti hacker dell’NSA rilasciati dal gruppo Shadow Brokers circa un mese fa.

Oltre gli ospedali britannici, l’attacco ha coinvolto aziende presenti in Russia, Turchia, Indonesia, Vietnam, Giappone, Spagna e Germania. In Spagna sono state coinvolte aziende come Telefonica e Santander.

NB: Il team Incident Response di Check Point sta continuamente tenendo sotto controllo la situazione e ha fornito ai propri clienti una serie di informazioni per capire come le soluzioni di Check Point possono essere utilizzate per analizzare e prevenire gli elementi dell’attacco.

Le informazioni sono disponibili anche qui: http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/

Check Point Software Technologies raccomanda ovviamente di prestare massima attenzione ai file che si ricevono via email e di non aprile assolutamente file sospetti anche se provenienti da mittenti conosciuti.

A poche ore dall’attacco, Aatish Pattni, head of threat prevention, Northern Europe di Check Point Software Technologies ha commentato così l’attacco:

“Il ransomware utilizzato in questo attacco è praticamente nuovo! Si è diffuso velocemente colpendo diverse aziende europee e asiatiche. Questo ransomware è la prova di quanto può essere devastante un malware di questo tipo e quanto può rapidamente provocare danni a persone e organizzazioni. Le aziende devono essere in grado di prevenire le infezioni eseguendo la scansione, bloccando e filtrando i contenuti dei file sospetti prima che raggiungano le loro reti. È inoltre fondamentale che i dipendenti siano istruiti sui potenziali rischi causati da email inviate da soggetti sconosciuti o da messaggi di posta sospetti che però sembrano provenire da contatti conosciuti.”

 —– 

È italiana la tecnologia che sta neutralizzando l’attacco ransomware mondiale in corso “Wannacry”, dichiara l’amministratore delegato dott.ssa Stefania Ranzato della Cyber Intuition.

La tecnologia made in Italy, si chiama Raptor è stato interamente sviluppato nei laboratori della Cyber Intuition, il primo software anti – ransomware creato per contrastare anche le più recenti evoluzioni dei malware. La Cyber Intuition, società italiana, che ha sviluppato la soluzione antiransomware Raptor, si è misurata con uno degli attacchi di proporzioni mai viste. Il malware diffuso a livello globale ha messo in ginocchio, strutture sanitarie pubbliche inglesi fino ai server della telco spagnola Telefonica, con una schermata che dice “I tuoi dati saranno perduti per sempre se non paghi un riscatto di 300 dollari”. Ad essere colpiti dal potentissimo attacco anche Russia, Ucraina e Taiwan. “Stiamo lavorando ininterrottamente – ha dichiarato la dott.ssa Stefania Ranzato, Amministratore Delegato della Cyber Intuition – con una task force di intelligence specializzata nell’evoluzione dei Ransoware. La sicurezza del nostro Paese e delle reti è gravemente pregiudicata. I cyber criminali hanno investisto il delicato settore della Sanita, perché mina la capacità operativa delle strutture mettendo a rischio la salute dei pazienti. Il tema della sicurezza informatica nelle sue molteplici sfumature è sempre più centrale. Stiamo lavorando su due fronti: risolvere l’attacco in Spagna e nei paesi colpiti e dall’altro mettere in sicurezza Enti Governativi Nazionali ed internazionali e multinazionali. Intanto per evitare l’attacco consigliamo di installare una patch (Microsoft Security Bullettin MS 17-010) rilasciata da Microsoft già disponibile da Marzo e disattivare SMB v 1.0. ed affidarsi a “Raptor” Sono inoltre disponibili online le firme per ids/ips in grado di riconoscere exploit EternalBlue.” RaPToR intercetta e protegge la postazione anche in questo tipo di attacco grazie ai sui complessi meccanismi di analisi comportamentale correlati con analisi di entropia e attività di monitoraggio sul file system. La società inoltre consiglia, che nei casi di infezione, bisogna porre particolare cura nell’utilizzo di sistemi antivirus per provare a risolvere il problema in quanto l’azione di disinfezione potrebbe cancellare i riferimenti interni per effettuare la decriptazione dei dati, altresì evitare continue accensioni del computer, il ransomware,una volta attivato continua la sua azione di criptazione ad ogni avvio.

La tecnologia italiana, ha così anticipato paesi come la Cina, Russia, Israele e Stati Uniti che hanno da sempre il primato dell’innovazione tecnologica. La Cyber Intuition (www.cyberintuition.it) ha sviluppato un sofisticato anti-ransomware, che è in grado di prevenire bloccando le intrusioni malevoli e segnalarne la minaccia prima che queste infettino il sistema e mettano a rischio dati sensibili. 

Come agisce “Wannacry”,

Wannacry 2.0 viene eseguito mediante remote Shell execution. L’attacco viene portato con l’utilizzo di metasploit (sistema per individuare le vulnerabilità di un dispositivo) Per avere accesso alla macchina da attaccare viene utilizzato un exploit creato dalla NSA dal nome EternalBlue, rubato da Shadow Broker e distribuito , insieme a guide dettagliate sul suo utilizzo, rilasciato nel libero dominio. Permette l’apertura di backdoor consentendo l’accesso alla macchina target mediante l’uso di dll injection portato con Doublepulsar per eseguire il payload. Tale tipologia di attacco viene eseguita con l’utilizzo di botnet.

Le macchine target sono windows 7 e windows server 2008 e il servizio target è SMB v 1.

                                                                                ***

La società italiana, con sede a Roma, ha sviluppato “RaPToR” (acronimo di “Ransomware Prevention Toolkit & Rescue), il primo software “anti-ransomwere” capace di neutralizzare uno dei più temibili attacchi informatici, noto come “il virus del riscatto. che blocca il sistema operativo crittografando i dati e chiedendone la restituzione dietro il pagamento di una somma in “bit coin”. Raptor (Ransomware Prevetion Toolkit & Rescue) è la soluzione anti-ransomware che protegge i dati degli utenti e previene il computer da infezioni derivanti da possibili infezioni Ransomware, un tipo di malware che limita l’accesso del dispositivo blocca il sistema operativo crittografando i dati.

Articoli Correlati

  • 20/08/2016 La Guerra Fredda si è trasformata nella Guerra Digitale. Le spie sono ovunque. E non si sa chi vince E il gruppo di spie digitali Shadow Brokers ha messo in vendita all'asta online molti file che dovevano restare segreti, comprese alcune cyberarmi. A quanto pare, gli Shadow Brokers si fanno così v...
  • 17/08/2015 At&t partner di Nsa L'At&t non ha solo aiutato l'Nsa a spiare le comunicazioni digitali. È stata un vero e proprio partner nello sviluppo e nella prova delle nuove tecnologie usate per questo scopo (NYTimes). Tra ...
  • 24/03/2016 L’autocensura è l’effetto della sorveglianza Quelli che dicono «non mi importa della sorveglianza perché non ho nulla da nascondere»... Non gli farebbe male una lettura del paper "Under Surveillance: Examining Facebook’s Spiral of Silence ...
  • 25/03/2016 Il caso per caso Apple – FBI Se dunque l'FBI ha trovato il modo di aprire il famoso iPhone del terrorista senza intervento della Apple il caso sembra avviato a soluzione. Perché cade il presupposto di tutto: che l'interven...
  • 25/02/2016 Escalation Apple vs. FBI Le notizie si susseguono e la vicenda Apple vs. FBI sta crescendo e si va precisando. Si tratta di un'escalation. Sembra che nessuna delle parti sia orientata a cedere. E che il rilancio sia dest...
  • 06/08/2016 La macchina globale della sorveglianza È un'internet sorvegliata. Densamente popolata di gente che fa cose poco trasparenti. Criminali che prendono di mira qualcuno e poi chiedono il riscatto. Governi che prendono di mira tutti e poi ce...
Add Comment Register



Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>