Attacco hacker, come proteggersi

In riferimento alle notizie circolanti sui media e su internet, in merito all’attacco hacker a livello globale, compiuto attraverso un virus di tipo “ransomware”, noto coi nomi “WCry”, “WannaCry” e “WanaCrypt0r”, e rilevato a partire dal febbraio scorso, la Polizia Postale e delle Comunicazioni sta costantemente analizzando il fenomeno e intensificando le attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle infrastrutture informatiche del Paese.

Questo anche attraverso l’attività del Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche – CNAIPIC, che è in costante contatto con gli organismi di cooperazione internazionale ed in particolare con il centro EC3 di Europol,

Dai primi accertamenti effettuati e dalle risultanze raccolte, il virus sarebbe presente in Italia dal primo pomeriggio di venerdì scorso, ma non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le infrastrutture informatiche del nostro Paese.

Il virus, che sfrutta delle falle dei sistemi Windows cercando “porte aperte” nel pc vittima tramite internet, si propaga anche tramite tecniche di phishing (email che chiedono di cliccare su un link specifico sotto forma di avvisi di false banche, false servizi, false fatture o tramite l’esecuzione di file allegati). Pertanto si consiglia di non aprire link/allegati provenienti da email sospette. Inoltre il virus attacca sia share di rete che backup su cloud (nuvola).

Come avviene questo “attacco”? Le vittime ricevono il malware che si installa nel computer “vittima” tramite Internet sfruttando il noto bug EternalBlue, e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows. Si installa, quindi, come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili: la prima attività consiste nel cifrare determinate tipologie di file, mentre la seconda provvede a propagare il malware sull’eventuale LAN locale e nelle periferiche collegate ad essa (NAS, Hard disk USB, File server eccetera). Il danno consiste nella cifratura dei dati che, per poter essere ancora letti liberamente, devono essere “aperti” tramite una password che i pirati offrono previo pagamento di un “riscatto”.

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte del “virus”, si consiglia quanto prima di:

– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza Microsoft MS17-010 del 14 marzo 2017;

– aggiornare il software antivirus;

– disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP).

Infine, si consiglia di aggiornare quanto prima la copia del backup e tenere i dati sensibili isolati e di eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni tipo Firewall (IPS/IDS); ove possibile e ritenuto opportuno, bloccare tutto il traffico in entrata sui protocolli Server Message Block (SMB) e Remote Desktop Protocol (RDP).

Per quanto riguarda Federottica, il nostro sistema informatico è protetto da sistemi di sicurezza avanzati, mentre tutti i dati vengono salvati in backup su diversi supporti, alcuni dei quali completamente isolati dalla rete.

http://www.federottica.org/leggi.php?idcontenuti=1394