Contenuto
Aggiornamento della situazione
Il 12 maggio 2017 è stata divulgata al pubblico la notizia di diversi attacchi informatici su larga scala con una variante del ransomware WannaCry (detto anche WCry). Le vittime sono utenti di diversi paesi di tutto il mondo.
La minaccia WannaCry crittografa i file di dati sui computer infetti e chiede agli utenti un riscatto di 300 dollari USA in bitcoin per decrittografarli. La richiesta di riscatto indica che l'importo del pagamento verrà raddoppiato dopo tre giorni. Se il pagamento non viene effettuato entro sette giorni, i file crittografati verranno eliminati.
Le analisi indicano che l’attacco si diffonde tramite l’esecuzione di un codice remoto con protocollo SMB (Server Message Block) in Microsoft Windows che Microsoft ha annunciato e corretto con una patch il 14 marzo 2017. Gli utenti che hanno installato la patch sono fuori pericolo. Il 14 aprile, il gruppo Shadow Brokers ha divulgato uno specifico exploit contro questa vulnerabilità, nome in codice “Eternal Blue”, reperibile tramite un dump di vari strumenti di attacco.
I clienti Symantec sono protetti?
Prima ancora della diffusione di WannaCry, Symantec offriva già una protezione contro questa vulnerabilità tramite la tecnologia di protezione di rete IPS (Sistema di prevenzione delle intrusioni) nei prodotti Symantec Endpoint Protection (SEP) e Norton.
Che tipo di protezione offre Symantec ai clienti endpoint?
La protezione contro questa minaccia si articola in due modalità di base:
- I clienti che hanno installato l’aggiornamento della sicurezza Windows MS17-010 non sono vulnerabili a questa minaccia.
- È possibile utilizzare Symantec Endpoint Management per distribuire efficacemente questa e altre patch, oltre ad aggiornamenti del software, a livello dell’intera azienda.
- In IT Management Suite (ITMS), la patch MS17-010 non viene visualizzata in Patch Management poiché quel numero di patch è stato superato e incluso nei rollup da marzo a maggio 2017. Inoltre, questo documento verrà aggiornato mano a mano che vengono distribuite nuove patch.
- Per i sistemi che non hanno installato la patch, i prodotti Symantec e Norton prevedono una serie di difese da questa minaccia:
- Tutti i clienti SEP 14, SEP 12, SEP SBE e SEP Cloud già godono di una protezione che impedisce la diffusione di WannaCry via SMB, grazie alla tecnologia di protezione reti Intrusion Prevention System (IPS).
- Per i clienti SEP 14, SEP 12, SEP SBE e SEP Cloud l’esecuzione di tutte le varianti note del ransomware viene bloccata da una protezione integrata nei nostri più recenti aggiornamenti delle firme. Abbiamo firme il cui rilascio risale al 31 marzo 2017 che già bloccavano almeno una variante di WannaCry.
- Una volta installati i prodotti su uno specifico computer, i clienti delle edizioni SEP 14, SEP Cloud e SEP SBE in hosting dispongono di ulteriori capacità di protezione contro l’esecuzione di questa minaccia. La nostra tecnologia di apprendimento automatico avanzato ha rilevato proattivamente molte delle varianti di WannaCry al momento del loro rilascio. Anche la funzionalità cloud intelligente per le minacce protegge immediatamente dalle nuove varianti di WannaCry.
Nota: la funzionalità cloud intelligente per le minacce è attivata per impostazione predefinita e si consiglia agli utenti di assicurarsi che resti attivata nei loro ambienti.
Si consiglia inoltre di verificare che siano attivate la tecnologia Insight di SEP basata sulla reputazione e la tecnologia comportamentale SONAR. Entrambe queste tecnologie offrono ulteriori capacità di protezione proattiva per le nuove versioni di WannaCry.
I clienti Symantec Proxy sono protetti?
Grazie alla condivisione in tempo reale delle informazioni tra Symantec e Blue Coat, tutte le versioni di WannaCry bloccate da SEP vengono bloccate automaticamente anche per i clienti Blue Coat che dispongono di Content Analysis System (CAS).
Nota: questa funzionalità non è disponibile in ProxyAV, il predecessore di Content Analysis System, anche se i motori di scansione malware di ProxyAV possono essere in grado di bloccare WannaCry indipendentemente.
A mano a mano che rileva nuovi campioni, per i clienti proxy sia SEP che Blue Coat, Symantec aggiungerà automaticamente la protezione adeguata alla minaccia.
I clienti Symantec e-mail sono protetti?
Tutti i clienti Symantec e-mail sono completamente protetti da WannaCry tramite l’ultima serie di firme distribuite. Le tecnologie Skeptic e Link Following disponibili nel prodotto Email Security.cloud offrono ulteriori protezioni proattive.
Come proteggersi?
Symantec consiglia caldamente di procedere come segue:
- Attivare la tecnologia Insight di SEP basata sulla reputazione e la tecnologia comportamentale SONAR.
- Tenere aggiornato il proprio software (SEP, ProxySG, patch di Microsoft e così via) e installare le versioni più recenti per ridurre il rischio di infezioni future
- Installare l’aggiornamento della sicurezza Windows MS17-010.
Risorse
Dettagli tecnici
Grazie dei commenti. Facci sapere se hai ulteriori commenti qui sotto. (Richiede l'accesso)