News

Sicurezza informatica: cosa sono i ransomware e l’attacco di Wcry

Nei giorni scorsi sotto la luce dei riflettori è finito il ransomware Wcry; ma cosa sono i ransomware?

Partendo dalle basi andiamo a definire cosa sono i malware: i malware, contrazione delle parole inglesi malicious software, non sono altro che programmi, documenti o messaggi di posta in grado di danneggiare un sistema informatico, cioè di apportare modifiche malevoli a pc, smartphone, tablet, etc.

I ransomware sono una particolare categoria di malware che, dopo aver infettato i dispositivi, ne limitano l’utilizzo e/o la funzionalità; spesso e volentieri, per la rimozione del blocco viene richiesto un riscatto al proprietario del dispositivo.

A questo punto sorge spontanea una domanda: come ha fatto Wcry a infettare e portare al blocco così tanti dispositivi di enti pubblici e aziende internazionali?

Wcry ha sfruttato una falla di sicurezza di Windows per il quale la stessa aveva rilasciato ancora nel mese di marzo una patch di sicurezza; aggiornamento che era stato diffuso non solo per le ultime versioni del sistema operativo di Redmond, ma anche per versioni precedenti ancora diffuse (Windows XP, Windows 8 e Windows Server 2003).

Il funzionamento di Wcry è molto semplice quanto efficace; il ransomware una volta infettata la macchina fa una chiamata ad un dominio inesistente e, a seguito della mancata risposta, si attiva andando a bloccare la macchina e chiedendo per lo sblocco un pagamento in bitcoin (una moneta elettronica).

Si tratta del più grande “virus disaster” mai avvenuto:

  • Oltre 230.000 computer colpiti;
  • 150 Paesi coinvolti.

Tra le vittime di Wcry troviamo macchinari per risonanze magnetiche, celle frigo per la conservazione di sangue per trasfusioni, sistemi di gestione delle ambulanze, sistemi di gestione di ferrovie, etc.; inoltre sono state colpite causando il blocco della produzione grosse aziende come Nissan, Renault e Hitachi.

Per bloccare l’infezione mondiale è stato registrato da un ricercatore il dominio al quale veniva effettuata la chiamata riuscendo così ad inibire il sistema di attivazione di Wcry e tramite l’utilizzo di sinkhole convogliare e neutralizzare il traffico generato dal ransomware.

Come ci si può difendere da queste minacce? Ci sono alcune cose da fare e tenere sempre in mente per difendere se stessi e la propria organizzazione:

  1. Aggiornare ogni qualvolta vi sia un aggiornamento disponibile il proprio OS in quanto vi sono sempre compresi dei fix per la sicurezza;
  2. Utilizzare un antivirusantimalware sulla propria macchina;
  3. Effettuare periodicamente dei back up per poter recuperare i dati e i documenti importanti;
  4. NON aprire qualsiasi oggetto che ci giunge, ma prestare attenzione ad eventuali indizi che possano farci insospettire (nomi strani, indirizzi con nomi simili ad indirizzi conosciuti, etc.);
  5. Prestare attenzione quando colleghiamo una chiavetta o un cd o un altro dispositivo al computer.
Articolo precedente Microsoft Build 2017: le novità Azure, SQL, IoT e AI Articolo successivo IoT – Internet delle cose