Nei laboratori di F-Secure situati nella sede della multinazionale della sicurezza informatica, nel cuore di Helsinki, è possibile tenere sotto controllo quotidianamente lo stato delle minacce e delle vulnerabilità a livello globale. Lo scorso 13 maggio è scattato l’allarme rosso, per effetto dell’improvvisa e inattesa diffusione di Wannacry, il ransomware che ha messo in ginocchio enti e istituzioni di tutto il mondo. Lo storico Chief Research Officer di F-Secure, Mikko Hypponen, ha potuto quindi seguire fin dalle prime ore lo sviluppo di questo attacco e mettere in atto le opportune contromisure a beneficio di partner e clienti, come ha raccontato l’esperto di sicurezza a Digital4Trade. «In F-Secure abbiamo lavorato tutto il week end e nei giorni successivi per monitorare Wannacry. Eravamo in un’ottima posizione per bloccare l’attacco dal punto di vista dei nostri clienti. Abbiamo lavorato tenendo a mente la diffusione dei virus dei primi anni Duemila, come Slammer, I Love You, ecc. capaci di infettare milioni di computer in pochissime ore».
Indice degli argomenti
Wannacry, un attacco inusuale
L’attacco si è rivelato come un qualcosa di completamente inusuale, perché risultato di una combinazione tra un warm capace di diffondersi da solo e un ransomware trojan capace di bloccare i file. «La combinazione di questi due aspetti spiega perché si è diffuso così rapidamente e perché ha infettato centinaia di migliaia di computer in tutto il mondo. L’unica buona notizia è che i cybercriminali non sono riusciti a raccogliere molti soldi con questo attacco, solo il 3% delle vittime hanno pagato il riscatto per liberarsi dal ransomware, tanto da aver racimolato appena 120,000 euro», evidenzia Hypponen. La maggioranza delle vittime di Wannacry sono state soprattutto grandissime organizzazioni: la ragione risiede nel fatto che la vulnerabilità che permette a questo virus di diffondersi risiede in una feature di Windows chiamata Samba, piuttosto utilizzata nelle grandi aziende. E le compagnie che usano centinaia o migliaia di workstation hanno difficoltà a effettuare in tempi rapidi l’aggiornamento delle patch; nel caso di Wannacry i due mesi di tempo per implementare l’update che la stessa Microsoft aveva rilasciato non sono stati evidentemente sufficienti.
Chi c’è dietro l’attacco ransomware
La domanda, naturalmente, è quali gruppi di cybercriminali si siano avvantaggiati della diffusione di Wannacry. La risposta di Hypponen è che, molto probabilmente, dietro Wannacry c’è un gruppo di cybercriminali che si era già palesato in passato, in particolare con l’attacco Swift Hack, dietro cui si nasconderebbe il governo della Corea del Nord. Oltre a Wannacry, ovviamente, F-Secure è tutti i giorni in prima linea per contrastare la diffusione di tutte le altre minacce informatiche. Tra questi vengono tenuti sott’occhio in particolare i banking trojan, che colpiscono chi effettua operazioni bancarie on line, cercando di sottrarre denaro dagli account personali. Senza dimenticare le Botnet, da cui partono gli attacchi spam, e i keyloggers, attraverso cui si mira a rubare il numero delle carte di credito o altre informazioni personali.
Contro Wannacy e simili, meglio il backup
Secondo il Chief Research Officer di F-Secure «I trojan ransomware sono però cresciuti più rapidamente di qualsiasi altra minaccia e costituiscono oggi il più grande problema con cui abbiamo a che fare da 5 anni a questa parte». Ovviamente, dopo Wannacry le aziende si interrogano su cosa fare per proteggersi adeguatamente. La risposta di Hypponen è chiara: «La prima cosa da fare quando si inizia a impostare la propria politica di sicurezza è assicurarsi che il proprio processo di backup funzioni. Dunque innanzitutto occorre fare backup e anche il backup del proprio backup. Prendiamo ad esempio il caso Wannacry: se gli utenti avessero fatto il backup dei propri dati, non avrebbero avuto bisogno di pagare il riscatto».
@RIPRODUZIONE RISERVATA
