In questi giorni, si è sentito spesso parlare di un attacco informatico, realizzato attraverso il virus WannaCry. L’attacco è avvenuto il 12 maggio e ha riguardato i sistemi informatici di aziende e istituzioni di tutto il mondo, espandendosi molto velocemente e causando danni danni quantificabili in diversi milioni di dollari. Cerchiamo di capire meglio come funziona WannaCry e come proteggersi da altri ransomware simili.
Che cos’è WannaCry?
WannaCry è un virus informatico, che sfrutta un problema legato al protocollo SMB utilizzato dai sistemi operativi Windows, utilizzando una vulnerabilità (in gergo tecnico ‘exploit’) nota come EternalBlue. Exploit di questo tipo vengono solitamente sviluppati dalle Agenzie di sicurezza nazionali per poter ricavare informazioni dai sistemi informatici ‘nemici’. Il 14 aprile di quest’anno, un gruppo di hacker, che si fa chiamare “The Shadow Broker”, è riuscito ad individuare EternalBlue e lo ha divulgato mettendolo a disposizione di tutti attraverso la rete. Pur non sapendo chi sia il padre di WannaCry, in questo caso possiamo affermare che qualcuno ha deciso di trarre vantaggio da questo exploit.
Come mai WannaCry è così pericoloso?
Non si tratta di un semplice virus che attacca un computer. Diffondendosi tramite finte email, WannaCry ha visto un’espansione molto veloce.
Una volta che un singolo computer è stato infettato, il ransomware manda automaticamente una email, contenente una copia di se stesso, alla lista dei contatti del computer. Non solo, WannaCry ha la capacità di attaccare tutti i dispositivi presenti sulla stessa rete, sfruttando il collegamento wireless per diffondersi velocemente. Per questa ragione, potremmo ipotizzare di essere di fronte ad uno degli attacchi più importanti della storia dell’informatica.
Come opera WannaCry?
Senza scendere troppo nei dettagli tecnici per spiegare come funziona Wannacry, diciamo prima di tutto che WannaCry è un cryptolocker.
Ciò significa che, una volta cliccato sul link fasullo, che comporta l’installazione del virus, WannaCry va a criptare i file presenti sul computer, rendendoli inaccessibili e impedendo il riavvio e rendendo, di fatto, inutilizzabile il PC o il Server in uso. A questo, si aggiunge la comparsa di un file, chiamato @Please_Read_Me@ che una volta aperto (una delle poche operazioni ormai consentite), contiene un messaggio, un vero e proprio ricatto, in cui all’utente viene chiesto di pagare 300 dollari (in alcuni casi si sono registrate richieste fino a 600 dollari), per poter sbloccare i propri file.
Non è possibile risalire alla transazione?
Una domanda legittima potrebbe essere: “Dato che si deve pagare, non si potrebbe risalire, in un secondo momento, al destinatario del versamento?”. Proprio qui sta uno degli aspetti “geniali” dell’ideatore di WannaCry. Il riscatto, infatti, deve essere pagato attraverso Bitcoin, la nota cryptovaluta, che non permette di risalire al ricevente. Una volta comparsa la schermata con la richiesta di denaro, il ricattato riceverà anche un codice, legato alla sua transazione. Attraverso quel codice potrà effettuare il pagamento, rendendo di fatto intracciabile tutta l’operazione In ogni caso si consiglia, ovviamente, di informare la polizia postale dell’accaduto e di attendere di capire se può esistere una soluzione alternativa prima di pagare.
Quali sistemi operativi sono a rischio?
Prima di tutto occorre specificare che questa variante di virus infetta sia sistemi operativi Windows Desktop che Server. Le versioni vulnerabili di Windows, oggetto dell’attacco che hanno reso inutilizzabili molti servizi e sistemi informatici, sono: Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, e Windows Server 2016 se non sono stati aggiornati quando la patch è stata rilasciata dalla casa madre che ha rilasciato una correzione perfino per Windows XP non è più supportato da aprile 2014 dalla stessa azienda produttrice.
Come proteggersi da WannaCry?
Microsoft si è immediatamente mobilitata per mettere al corrente tutti i propri utenti sulle procedure di sicurezza da attuare. Per prima cosa, il buon senso: non aprire email contenenti link sospetti, è il primo passo per bloccare l’espansione. Inoltre, mantenere il proprio sistema operativo aggiornato con le ultime patch rilasciate da Microsoft per il sistema operativo utilizzato.
L’aggiornamento del sistema e dei singoli programmi rappresenta una pratica fondamentale per poter fronteggiare possibili attacchi informatici.
Effettuare regolari Backup dei propri dati è considerata dagli esperti una delle pratiche più sicure per combattere questa tipologia di attacchi. Nel caso dei Server (virtuali o dedicati che siano), facendo un regolare backup, si avrà la possibilità di ripristinare completamente il proprio server o addirittura andare a recuperare singoli file che magari non volevamo cancellare. Quindi, la pratica del Backup risulta essere, al di là dell’aspetto riguardante la sicurezza del proprio server, una delle operazioni consigliate per evitare sgradevoli inconvenienti.
Register.it, da sempre al fianco di aziende e professionisti del web, fornisce una serie di strumenti per mettere al sicuro il proprio sito web e il proprio server. Grazie al prodotto Server Backup si ha infatti la possibilità di creare un backup completo o pianificare anche backup di singoli file o directory in modo da poterli recuperare in maniera del tutto semplice, nel caso venissero erroneamente cancellati.
Scegliendo invece tra la gamma di Certificati SSL messi a disposizione, si ha la possibilità di proteggere la parte applicativa (e-commerce, siti web e connessioni SMTP) attraverso una connessione sicura HTTPS che garantirà ai clienti la veridicità dell’interlocutore.
