COMUNICATO STAMPA
Polizia delle Comunicazioni
In relazione alla notizia dell’attacco hacker a livello globale compiuto attraverso un
ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r e rilevato a partire dal
febbraio scorso, la Polizia Postale e delle Comunicazioni e in particolar modo il
Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture
Critiche – CNAIPIC, sta costantemente analizzando il fenomeno, intensificando le
attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle
infrastrutture informatiche del Paese.
Dalla serata di venerdì 12 maggio la Sala Operativa del CNAIPIC è in costante
contatto con i referenti tecnici delle infrastrutture critiche informatizzate e, tramite il
Nucleo Sicurezza cibernetica, con i componenti dell’Architettura di difesa Cyber
nazionale.
Costante il rapporto con gli organismi di cooperazione internazionale ed in
particolare con il centro EC3 di Europol.
Diramati dal CNAIPIC diversi alert di sicurezza con gli indicatori di compromissione
relativi all’attacco hacker, utili per l’innalzamento del livello di sicurezza dei sistemi
informatici
Dai primi accertamenti effettuati e dalle risultanze raccolte ad oggi, sebbene l’attacco
sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento
evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le
infrastrutture informatiche del Paese.
In generale i comportamenti rilevati vedono:
1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail
vettore dell’infezione).
2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug
EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema
C:\windows.
3) Si installa quindi come servizio e procede ad eseguire due attività parallele
utilizzando diversi eseguibili.
4) La prima attività consiste nel cifrare determinate tipologie di file come da link;
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.
5) La seconda provvede a propagare il malware sulla eventuale LAN presente
sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139.
Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi
target da infettare via SMB porta 445.
6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti
con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor
DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy
Polizia di Stato
Polizia delle Comunicazioni
aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di
diffusione sulla rete.
Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore
versione di “WannaCry” 2.0, ovvero al riavvio delle macchine per la giornata di
domani, inizio della settimana lavorativa.
Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di
ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry,
si consiglia quanto prima di:
Lato client/server
– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows
pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017
– aggiornare il software antivirus
– disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block
(SMB) e Remote Desktop Protocol (RDP)
– il ransomware si propaga anche tramite phishing pertanto non aprire
link/allegati provenienti da email sospette
– il ransomware attacca sia share di rete che backup su cloud quindi per chi non
l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili
isolati
Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al
rilevamento delle intrusioni (IPS/IDS)
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su
protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP)
La lista degli indicatori è reperibile sul sito www.commissariatodips.it
Il CNAIPIC
Nel quadro delle strategie di protezione delle infrastrutture critiche
informatizzate, l’istituzione, all’interno del Servizio Polizia Postale e delle
Comunicazioni, del Centro Nazionale Anticrimine Informatico per la Protezione
delle Infrastrutture Critiche (CNAIPIC) si propone come modello operativo di
assoluto carattere innovativo, anche in relazione al contesto internazionale.
Ai sensi dell’art. 7 bis della legge 31 luglio 2005 n. 155 (che ha convertito
con modificazioni il decreto legge 27 luglio 2005 n. 144, recante “Misure urgenti per
il contrasto del terrorismo internazionale”) il CNAIPIC è incaricato, in via
esclusiva, dello svolgimento di attività di prevenzione e contrasto dei crimini
informatici, di matrice criminale comune, organizzata o terroristica, che hanno per
obiettivo i sistemi informatici o le reti telematiche a supporto delle funzioni delle
Polizia di Stato
Polizia delle Comunicazioni
istituzioni e delle aziende che erogano o gestiscono servizi o processi vitali per il
Sistema Paese, convenzionalmente definite infrastrutture critiche informatizzate e
che, sempre ai sensi della citata norma di legge, sono state individuate come tali con
il decreto del Ministro dell’Interno del 09 gennaio 2008.
Il CNAIPIC interviene, quindi, in favore della sicurezza di una gamma di
infrastrutture connotate da una criticità intersettoriale (in virtù dei sempre più stretti
vincoli di interconnessione ed interdipendenza tra i differenti settori infrastrutturali) e
su una tipologia di minaccia che può avere tanto un’origine extraterritoriale quanto
una proiezione ad “effetto domino” e transnazionale delle sue conseguenze.
Il modello operativo si fonda, inoltre, sul principio delle partnership
“pubblico-privato”: il CNAIPIC, infatti, assume (mediante un Sala operativa
disponibile h24 e 7 giorni su 7) una collocazione centrale all’interno di un network di
realtà infrastrutturali critiche (istituzionali ed aziendali), ed opera in stretto
collegamento con organismi di varia natura (nazionali ed esteri), impegnati tanto
nello specifico settore quanto sul tema della sicurezza informatica, con i quali
intrattiene costanti rapporti di interscambio informativo e provvede (attraverso Unità
di intelligence e di analisi) alla raccolta ed all’elaborazione dei dati utili ai fini di
prevenzione e contrasto della minaccia.
Il suddetto rapporto di partenariato trova il proprio momento di
formalizzazione nella stipula di specifiche convenzioni; dal 2008 ad oggi sono state
stipulate convenzioni, tra le altre, con i seguenti enti ed aziende: ENAV, TERNA,
ACI, TELECOM, VODAFONE, FFSS, UNICREDIT, RAI, CONSOB, ANSA,
ATM – AZIENDA TRASPORTI MILANESI, ABI, BANCA D’ITALIA, SIA SSB,
INTESA SANPAOLO, ENEL, FINMECCANICA, H3G, ATAC, EXPO 2015.
https://www.commissariatodips.it/notizie/articolo/attacco-hacker-mondiale-virus-wannacry.html
Roma, 14 maggio 2017