Eventi 2017 secondo semestre e 2018
Sicurezza
 

16/05/2017

Share    

di Paolo Morati

WannaCry, il machine learning come difesa

La diffusione del ransomware Wannacry su scala globale è il segnale dei rischi potenziali per aziende e amministrazioni. La strategia per proteggersi secondo Bitdefender.

Denis CassinerioSi sta parlando molto dell’attacco globale basato sul ransomware WannaCry (noto anche come WannaCryptor), che colpisce in modo automatico i computer con sistema operativo Windows sui quali non era ancora stata applicata la patch MS17-010 o per i quali non era disponibile, perché obsoleti. Un attacco diffusosi finora in un centinaio di Paesi, con l’Italia nella Top 10 di quelli con pc infettati che cercando di infettarne altri, e che sta avendo una grande eco mediatica. “Sugli eventi di questi giorni ci sono diverse considerazioni da fare. Prima di tutto che si tratta di un fenomeno che dal punto di vista del risultato di chi attacca non si è finora rivelato così eclatante. In queste ora abbiamo infatti monitorato i portafogli bitcoin, e gli ultimi dati di stamattina parlavano di una somma equivalente a circa 72.000 dollari di riscatti pagati (vedi esempio di transazione nell’immagine qui sotto, la società ha individuato finora 7 wallet per intascare i riscatti, di cui 4 nuovi, un segnale di un possibile aumento dei cyberciminali coinvolti così come del tentativo di ottenere più introiti). Insomma, molto poco considerata la vastità dell’attacco, condotto su oltre un centinaio Paesi e centinaia di migliaia di endpoint. Certamente questa azione dimostra invece la criticità e i rischi a cui si può andare incontro di fronte a minacce in grado di auto replicarsi e di sfruttare l’incapacità di effettuare patching in modo corretto e di correre ai ripari in tempi adeguati”, spiega Denis Cassinerio, Regional Sales Director di Bitdefender. “Al di là del risultato ottenuto, nella sostanza si tratta di azioni destinate a proseguire, in varie forme, per cui bisogna compiere una seria riflessione su quali sono le tecnologie più adatte a contenerle. Da parte nostra da anni sviluppiamo un approccio tecnologico che va alla radice del problema, basato sul machine learning, e che analizza il comportamento degli attacchi stessi e le tecniche utilizzate. Ecco che i nostri clienti non ci hanno segnalato alcun danno subito. Alla tecnologia vanno poi affiancate corrette strategie di risk management e non deve essere sottovalutata la protezione degli endpoint da cui si innescano gli attacchi, che in certi casi significa anche dispositivi mobili. Il tutto ragionando in modo proattivo e con piattaforme che seguono una logica a strati”.

Bitcoin Wannacry

Gianluca GravinoTutelare chi non è aggiornato
Uno dei bersagli su cui WannaCry sembra aver avuto maggiori effetti sono stati i computer che utilizzano ancora il sistema operativo Windows XP, ormai non più supportato. Non a caso Microsoft ha rilasciato una patch di sicurezza dedicata. “Noi stessi notiamo quanto XP sia ancora molto diffuso, ad esempio nel settore manifatturiero dove controlla particolari macchinari di produzione. E lo stesso fatto che Microsoft abbia rilasciato una patch dimostra quanto sia ancora diffuso”, commenta Gianluca Gravino, System Engineer di Bitdefender. “Di fatto è difficile spingere alcune aziende a cambiare, non solo per ragioni economiche ma anche di configurazioni e procedure consolidate dei propri sistemi e processi. Ecco perché, proprio attraverso il machine learning, possiamo e dobbiamo aumentare le opportunità di difesa per le realtà che non si adeguano alle nuove versioni di un sistema operativo. Noi abbiamo inoltre sviluppato la tecnologia HVI (Hypervisor Introspection) che lavora a livello di applicazione, proteggendo anche dalle minacce su applicazioni datate e veicolate via browser. Quest’ultimo è di fatto uno dei vettori di attacco oggi più utilizzati”.



Wannacry Paesi
Paesi con pc infettati da Wannacry (Fonte: Bitdefender)

Rischi futuri

WannaCry nel contempo sta evolvendo in nuove versioni per continuare a propagare l'infezione, mentre il team di Bitdefender, considerando il metodo di pagamento con contatto diretto dei cyberciminali e l'uso di codice pubblicamente disponibile, ritiene che si tratti con molta probabilità di un attacco amatoriale e non sponsorizzato da qualche stato particolare. “Già da questa mattina sono stati individuati nuovi server legati a Wannacry. Se da un lato le conseguenze non sono state eclatanti quanto la diffusione dell’attacco, è anche vero che si tratta di un segnale di quello che potrebbe accadere in futuro nel caso di problemi ai sistemi informativi di infrastrutture critiche, come ad esempio quelli che gestiscono le rete elettriche. E non è uno scenario irreale, visto che a livello di darkweb si sta già discutendo di possibili evoluzioni di queste minacce. Ecco che, di nuovo, diventa importante proteggersi in modo adeguato e proattivo: dalla prevenzione, alla detection fino al recovery”, conclude Cassinerio. 

 

TORNA INDIETRO >>