A distanza di due mesi dai devastanti attacchi condotti con Wannacryci sono ancora migliaia di aziende che non hanno aggiornato i propri sistemi per renderli invulnerabili a EternalBlue, l’exploit utilizzato per diffondere a macchia d’olio il famoso ransomware. Secondo il calcolo fatto da Elad Erez, direttore innovazione di Imperva, azienda di cybersecurity, sono almeno 50.000 i sistemi attualmente a rischio, e in particolare in Europa, Italia compresa. Erez ha scritto sul suo blog che il loro numero, ancora approssimativo e forse inferiore al numero effettivo di macchine a rischio, è il risultato di un lavoro di monitoraggio fatto su 8 milioni di indirizzi ip – e altrettanti computer connessi a Internet – scansionati con un tool messo a punto da lui stesso nei laboratori di Imperva e che si chiama, non a caso, Eternal Blues vulnerability scanner.
Lo scanner permette di monitorare tutti i sistemi che possono essere attaccati usando EternalBlue, l’exploit rubato dagli ShadowBrokers alla National Security agency americana che ha reso possibile l’epidemia di Wannacry mettendo in ginocchio il sistema sanitario inglese, banche, e aereporti; strumento e che è stato successivamente usato per l’attacco NotPetya bloccando la logistica, i trasporti, le banche e le biglietterie di organizzazioni di mezzo mondo dall’Ucraina agli Stati Uniti. E di cui ancora non è certa l’origine, se russa o coreana.
Quello che è certo è che EternalBlue consente la diffusione di malware sulle macchine Windows sfruttando la vulnerabilità di un protocollo di rete, il Windows Server Message Block (SMB) permettendo agli attaccanti di infettare un singolo pc per poi espandersi in tutto il network a cui è collegato. EternalBlue, al contrario di quello che è apparso in un primo momento, quando è stato sfruttato all’interno della campagna ransomware che ha bloccato 200.000 computer in 150 paesi chiedendo agli utenti colpiti un riscatto di 300 dollari, non serve solo a “sequestrare” quanti più computer possibili in attesa del pagamento del “riscatto”, (il ransom), ma è un ottimo metodo per prendere il controllo remoto delle macchine colpite, con effetti potenzialmente disastrosi per l’erogazione di servizi essenziali come acqua, luce, gas e trasporti basati su sistemi informatici.
Per la cronaca, l’epidemia di Wannacry è stata fermata grazie all’interrutore contenuto nel suo stesso codice, ma nel futuro, come accaduto con NotPetyache non ce l’aveva, potrebbe causare altri e maggiori danni.
Lo strumento messo a punto da Erez e utilizzato da decine di esperti, ha individuato pc vulnerabili in 130 paesi, di cui 30.000 sarebbero a rischio solo nei tre maggiori paesi analizzati. In base a queste analisi la metà degli “host” considerati (53.82%) hanno ancora il protocollo a rischio, SMBv1, “aperto”, e uno su nove si trova su un network vulnerabile a EternalBlue. Per questo l’ingegnere israeliano consiglia di disabilitare il protocollo e smettere di usarlo anche se, come precisa a Repubblica Carlo Mauceli, Cyber security officer di Microsoft, “Nei nuovi aggiornamenti di Windows 10 il protocollo a rischio è già disabilitato. Tuttavia il problema non è se usarlo o meno ma fare sempre un’analisi del rischio quando si utilizza qualsiasi strumento, soprattutto se è esposto sul web, e prevedere sanzioni per chi mette a rischio gli altri”.
Nel frattempo, come già aveva consigliato la stessa Microsoft, è molto importante aggiornare i sistemi per rimuovere la vulnerabilità presente sui sistemi Windows e predisporli all’aggiornamento automatico, ma soprattutto fare un monitoraggio costante delle proprie reti con strumenti diversificati, come consigliato dal Laboratorio Nazionale di Cybersecurity nei suoi 15 controlli essenziali di sicurezza.
Lascia un commento