Wannacry: “Un caso da studiare ma nulla di preoccupante”. Intervista a Dolman Aradori (NTT DATA Italia)

Chi non si occupa di sicurezza informatica ha seguito con una certa apprensione l’aggiornamento sulla campagna Wannacry, per il risalto mediatico suscitato e naturalmente anche per le spiacevoli e a volte letali conseguenze per i dati coinvolti. Tuttavia per coloro che, quotidianamente scoprono e studiano nuove minacce informatiche, il Wannacry ha rappresentato un caso da studiare, ma nulla di cui allarmarsi o per cui disperarsi. A fronte delle evidenze per lo “yet another ransomware”, sono bastate meno di 24 ore per identificare, capire e suggerire azioni di remediation e meno di 48 per definire un quadro completo del Worm. Ne parliamo con Dolman Aradori, responsabile sicurezza NTT DATA Italia.

L’intervista

Quando avete cominciato a studiare il ransomware Wannacry?

Da subito. Infatti, NTT può contare su 16 Security Operation Center (SOC) sparsi per il mondo e su più di tremila sensori dislocati in rete che intercettano minacce. Quindi, già dall’11 maggio abbiamo iniziato a raccogliere dati dai sensori, intercettando il fenomeno. Inizialmente è stato analizzato con i sistemi automatici e poi mediante lo studio dei ricercatori che hanno identificato gli indicatori di compromissione per darne subito evidenza. Alcuni operatori inoltre, sono stati attivati per effettuare un’analisi di dettaglio del malware finalizzata a replicare il comportamento e capire l’attività di sfruttamento delle vulnerabilità e quindi identificare queste ultime. Il 12 maggio il team aveva già una conoscenza approfondita del Wannacry ed era stata avviata una prima comunicazione ai clienti sottoscrittori dei servizi antimalware.

Qualcuno dei vostri clienti è stato colpito?

Si, ma l’effettivo numero di attaccati è stato esiguo, perché era stata data comunicazione della vulnerabilità sfruttabile e dell’esigenza di procedere rapidamente all’installazione degli aggiornamenti. Quindi la maggior parte dei nostri clienti ha potuto prevenire mediante patching  limitando le criticità. A partire dal tardo pomeriggio del venerdì e quindi dopo l’inizio dell’eco mediatico, il team di security aveva una situazione sotto controllo e chiunque ci abbia contattato ha ricevuto un supporto completo.

Come siete organizzati in NTT per la cybersecurity e che attività operative perseguite in modo sistematico?

Possiamo contare su 16 SOC a livello mondiale e 7 centri ricerca. Ma in totale gli esperti di sicurezza informatica sono 1.500. Il global threat intelligence center è dedicato a scoprire le nuove minacce e quindi sono erogati continuamente bollettini informativi per i nuovi threat con l’eventuale patching consigliato. In aggiunta sono svolte operazioni di carattere standardizzato quali i report mensili trimestrali e annuali. Da agosto 2016 operiamo come un’unica azienda a livello sicurezza e data l’alta specializzazione delle figure possiamo contare su una altrettanto elevata qualità dei dati. Siamo molto attenti alla sensibilizzzzione e divulghiamo le best practices acquisite dal campo.

Per Wannacry avete emesso uno o più bollettini specifici in base alla situazione contingente?

Il bollettino consolidato è stato divulgato il 13 maggio ma già dal 12, attraverso comunicazioni per email, si segnalavano le attività da effettuare per affrontare il fenomeno in corso. Quindi abbiamo impiegato meno di 24h per lo studio e l’identificazione delle azioni di remediation: ovvero patching e/o tipi di workround, oppure supporto alla segregazione di macchine infette. In qualità di team di sicurezza forniamo anche i dati di configurazione puntuale per il firewalling, che rappresenta una specie di “vitual patching” per filtrare minacce o per chiudere vulnerabilità note.

Sono state divulgate molte varianti del Wannacry dopo la prima che eliminava il kill switch;  com’è la situazione del contagio oggi?

Abbiamo identificato altre varianti che sfruttano le stesse vulnerabilità del Wannacry: Uiwix, un ransomware o Adylkuzz, un malware che dopo l’installazione scarica codice per il mining di criptomoneta. Ma in circolazione ci sono anche malware come EternalRock/Bluedoom che contagiano ma restano silenti e in attesa, probabilmente, di istruzioni successive.

Qualcuno ha ipotizzato che la campagna ransomware Wannacry fosse un attacco di prova in preparazione di qualcosa di più corposo sia come riscatto sia come target. Cosa ne pensa?

Sicuramente il kill swtch poteva far pensare ad una situazione di prova tecnica sia per valutare l’estensione potenziale dell’infezione sia per testare la capacità dei CERT di rispondere e reagire. Da un punto di vista tecnico il malware è un worm come altri, seppure con criticità diverse come tipo di impatto. In passato ci sono state campagne di malware “virulente” come nei casi di Slammer e Conflicker ma in questo caso gli attacchi sono stati di livello globale e in effetti il ransomware si presentava in lingue diverse. Non dimentichiamo infine, che il malware in se’, in effetti non era sofisticato, ma la tecnica di diffusione sembra suggerire che la eco mediatica e la conseguente preoccupazione, siano state una leva manovrata per creare anche panico e suscitare anche un impatto maggiore. Sicuramente il fenomeno è destinato ad aumentare per via degli interessi economici crescenti del cybercrime, e quindi questo panorama della minaccia costituirà “il nuovo domani” a cui abituarsi.

Chi sono gli attaccanti più probabili di questo tipo di campagna? Avete un profilo dell’attaccante-tipo?

La tipologia di codice ha guidato nel valutare l’attaccante. Ci sono indizi nel codice che riconducono al Lazarus group (attribuito alla Corea del Nord n.d.r.). Inoltre dalle informazioni sui sistemi infettati sono stati ricavati altri indizi che hanno fatto pensare a criminali organizzati per un attacco a fini di lucro, oppure per collezionare diverse valute da riusare in altri contesti, oppure per spiare e carpire informazioni di intelligence finalizzate a scenari di sfruttamento in ambito cyberwarfare.

Wannakey e Wanakiwi sono programmi che tecnicamente aiutano a ripristinare i file criptati. Ma sono stati divulgati solo da qualche giorno. Come state supportando chi tra i vostri clienti è stato contagiato?

Abbiamo usato anche noi questi strumenti che però presentano una limitazione importante: la macchina non deve essere stata riavviata perché il ripristino possa funzionare. Altrimenti i dati sono completamente persi. Il principio d’intervento si basa su contromisure di prevenzione, ma in caso di contagio, si lavora per il supporto verso la segregazione delle macchine infette e il supporto alla reinstallazione compreso naturalmente il ripristino dell’ultimo back up utile dei dati. Normalmente la “sanificazione da reinstalling” è sufficiente compreso ovviamente l’opportuno e necessario patching.

 Cosa consiglia a tutti gli altri che non possono avvalersi di un CERT come il  vostro?

Patching e back-up sono azioni preventive che devono diventare abitudini costanti e cadenzate. E’ fondamentale inoltre confrontarsi con il CERT Nazionale e interagire con la community di sicurezza a diversi livelli di confronto: sulle minacce, per lo scambio di informazioni sulle tecniche di remediation, per istituire le contromisure più appropriate. Ma soprattutto è necessario avvalersi di persone con solidi skill di sicurezza per interpretare le opportune azioni di mitigazione che meglio di adattano al proprio contesto.

Alle PMI che hanno poche risorse economiche e poco personale cosa consiglia?

Anche queste realtà dovrebbero lavorare sulla prevenzione, mediante attivazione di security services, in “full outsource” o mediante supporti di secondo e terzo livello per attività di incident response. Ma soprattutto è necessario prevenire riducendo la finestra di esposizione al rischio, sfruttando l’infosharing e scegliendo sempre esperti di sicurezza e non avventori improvvisati.