“Il fatto che Microsoft abbia rilasciato diverse patch per versioni di Windows non supportate illustra la scala di questo problema” ha commentato Darren Anstee, CFO di Arbor Networks che ha così continuato sul tema WannaCry “L’installazione delle patch è il primo passo che tutte le organizzazioni dovrebbero compiere. Dopo le patch, occorre eseguire una corretta segmentazione della rete, una pratica sempre opportuna e caldamente consigliata in situazioni di questo tipo. La segmentazione della rete limita l’esposizione di Microsoft SMB non solo a livello esterno ma anche sulle reti interne.”
Anstee ha inoltre riferito che “Numerose fonti fanno riferimento a un ricercatore di malware che ha involontariamente trovato il cosiddetto “kill switch”, una sorta di interruttore di spegnimento del malware. Va sottolineato che potrebbe anche essersi trattato di una tecnica di anti-reversing utilizzata dai responsabili dell’attacco visto che spesso i ricercatori di cybersicurezza risolvono automaticamente ciò che il malware sta cercando per tenerlo in funzione. A prescindere dall’intenzione dell’autore del malware o dal colpo di fortuna del ricercatore che ha registrato il dominio, nel momento in cui scriviamo, la raccomandazione da fare sarebbe di NON BLOCCARE quel dominio.
In ogni caso, il “kill switch” non deve generare una falsa sensazione di sicurezza. È infatti estremamente probabile che venga rilasciata a breve una nuova variante molto più difficile da contrastare. Prevediamo inoltre che i nodi Tor di WannaCry saranno oggetto di indagini approfondite da parte dei ricercatori di sicurezza informatica ma anche di attacchi di altri criminali che cercano di raggranellare qualche bitcoin.”
Da tali considerazioni di partenza Arbor Networks ha tratto delle conclusioni di interesse: “Questo evento ha evidenziato i problemi associati all’acquisto di infrastrutture informatiche nell’ambito di progetti o funzioni specifiche in assenza del budget o delle capacità necessarie per garantirne il costante aggiornamento. Man mano che apprendiamo nuovi dettagli sulla diffusione di WannaCry attraverso varie organizzazioni, emergono due concetti chiave. Innanzitutto, vediamo che il personale di un’organizzazione può costituire un anello debole dal punto di vista della sicurezza e quindi, anche a fronte della complessità raggiunta dalle odierne campagne di spear phishing, la formazione del personale in materia di link e allegati sospetti è ormai di fondamentale importanza. Secondariamente, la visibilità dell’attività della rete interna (chi parla con chi, quando e con che frequenza) permette di individuare precocemente le minacce e di impedirne la diffusione mediante la corretta segmentazione della rete.”
