Cyberattacco WannaCry, parla Darren Anstee: “In caso di malware non bloccare il dominio”

MeteoWeb

Darren Anstee, Chief Technology Officer di Arbor Networks, ha voluto commentare così gli eventi legati a WannaCry, la minaccia informatica di cui tutti parlano da venerdì: “Il fatto che Microsoft abbia rilasciato diverse patch per versioni di Windows non supportate illustra la scala di questo problema. L’installazione delle patch è il primo passo che tutte le organizzazioni dovrebbero compiere. Dopo le patch, occorre eseguire una corretta segmentazione della rete, una pratica sempre opportuna e caldamente consigliata in situazioni di questo tipo. La segmentazione della rete limita l’esposizione di Microsoft SMB non solo a livello esterno ma anche sulle reti interne.

Numerose fonti – prosegue Darren Anstee – fanno riferimento a un ricercatore di malware che ha involontariamente trovato il cosiddetto “kill switch”, una sorta di interruttore di spegnimento del malware. Va sottolineato che potrebbe anche essersi trattato di una tecnica di anti-reversing utilizzata dai responsabili dell’attacco visto che spesso i ricercatori di cybersicurezza risolvono automaticamente ciò che il malware sta cercando per tenerlo in funzione. A prescindere dall’intenzione dell’autore del malware o dal colpo di fortuna del ricercatore che ha registrato il dominio, nel momento in cui scriviamo, la raccomandazione da fare sarebbe di NON BLOCCARE quel dominio.

In ogni caso, il “kill switch” non deve generare una falsa sensazione di sicurezza. È infatti estremamente probabile che venga rilasciata a breve una nuova variante molto più difficile da contrastare. Prevediamo inoltre che i nodi Tor di WannaCry saranno oggetto di indagini approfondite da parte dei ricercatori di sicurezza informatica ma anche di attacchi di altri criminali che cercano di raggranellare qualche bitcoin.

Questo evento ha evidenziato i problemi associati all’acquisto di infrastrutture informatiche nell’ambito di progetti o funzioni specifiche in assenza del budget o delle capacità necessarie per garantirne il costante aggiornamento.  Man mano – conclude Darren Anstee – che apprendiamo nuovi dettagli sulla diffusione di WannaCry attraverso varie organizzazioni, emergono due concetti chiave. Innanzitutto, vediamo che il personale di un’organizzazione può costituire un anello debole dal punto di vista della sicurezza e quindi, anche a fronte della complessità raggiunta dalle odierne campagne di spear phishing, la formazione del personale in materia di link e allegati sospetti è ormai di fondamentale importanza. Secondariamente, la visibilità dell’attività della rete interna (chi parla con chi, quando e con che frequenza) permette di individuare precocemente le minacce e di impedirne la diffusione mediante la corretta segmentazione della rete.” 

Condividi