SEARCH    
Avnet® Technology Solutions
WELCOME TO AZLAN

WannaCry Ransomware Attack: Cisco solutions


18 maggio 2017:

 

Un importante attacco ransomware è stato lanciato venerdì 2 maggio, colpendo molte organizzazioni nel mondo, incluse le maggiori telco, ospedali e sistemi di trasporto. L'attacco si è diffuso in circa 150 paesi nel mondo.

E' il primo worm ransomware mai visto di questo genere. Il malware responsabile di questo attacco è una variante ransomware conosciuta come 'WannaCry'.

WannaCry si installa attraverso una vulnerabilità nel protocollo SMB di Microsoft, non attraverso phishing o malvertising. SMB è un protocollo di rete utilizzato per condividere i file tra computer. La ragione per cui WannaCry è particolarmente efficace è che si può espandere sulla stessa rete auto-installandosi in altri sistemi, senza alcun intervento esterno da parte di altri utenti.

Il malware è inoltre particolarmente efficace in ambienti con macchine Windows XP, può infatti scannerizzare la porta TCP 445 (Server Message Block/SMB) compromettendo gli host, criptando i file contenuti e successivamente chiedendo un riscatto in Bitcoin.

Il 14 marzo Microsoft aveva rilasciato un update di sicurezza per risolvere la vulnerabilità. Mentre i computer Windows più recenti, con Windows Update abilitato, sono risultati protetti, molti invece sono rimasti esposti, in modo particolare i computer Win XP, che non sono più supportati da Microsoft, così come i milioni di computer, a livello globale, su cui è installato software non originale, e su cui ovviamente non viene effettuato l'upgrade automatico. 

Leggi il blog Cisco TALOS per informazioni più approfondite su WannaCry: http://blog.talosintelligence.com/2017/05/wannacry.html

Come CISCO protegge i nostri clienti

Una approfondita strategia di difesa è sempre il miglior approccio per l'information security.  

Per rispondere ad attacchi basati su Microsoft SMB raccomandiamo le "best practice" seguenti:

1. Assicurati che tutte le patch siano installate su tutti i device Windows. In particolare segui le istruzioni contenute nel Microsoft Security Bulletin MS17-010 2 e considera seriamente di bloccare i protocolli legacy come SMBv1 all'interno della rete. Puoi inoltre bloccare tutte le connessioni SMB (TCP ports 139, 445) dagli host esterni accessibili.  

Se non sono installate le patch per la vulnerabilità, qualsiasi organizzazione risulterà esposta al rischio di infezione ransomware. In ogni caso, i seguenti prodotti di sicurezza Cisco possono limitare l'installazione, la diffusione e l'esecuzione di WannaCry:

  1. I prodotti  Cisco Network Security (NGFW, NGIPS, Meraki MX) dispongono di regole aggiornate (da quando la vulnerabilità è stata identificata a metà aprile) per identificare e bloccare questa attività dannosa sulle connessioni SMB.
     
  2. La tecnologia Cisco  Malware Protection (AMP su endpoint, reti e gateway email/web) dispone di informazioni aggiornate su questo ransomware e infatti ne identifica e previene velocemente l'esecuzione. 
     
  3. Cisco Cloud Security (Umbrella) può bloccare le connessioni e impedire che il malware giunga  a prendere il controllo dei server su internet, che porterebbe a una impropria esecuzione del malware. In questa situazione, il blocco ha attivato automaticamente un “kill switch” nel malware. 

E' probabile che  WannaCry si evolva nei prossimi giorni e settimane. Mentre la versione attuale verrà aggiunta alle signature degli anti-virus, le nuove varianti avranno ottime probabilità di essere identificate dalle moderne tecnologie comportamentali di Cisco AMP.   

Le soluzioni ransomware CISCO

Cisco dispone di una architettura "defense-in-depth" per la protezione contro i ransomware. Suggeriamo alle organizzazioni di considerare la soluzione Ransomware Threat Defense.
Se la vostra azienda è stata colpita da questo ransomware, potete contattare i Cisco Security Services Incident Response / +1-844-831-7715 per avere supporto.
 

Per maggiori informazioni

Monica Bernabei

Marketing Manager

+39 02 618 604 1

Team Cisco Data Center 

ilaria.pasini@avnet.com

Team Cisco Security 

angelo.sbardellini@avnet.com

2018 - We are the IT solutions specialist
Download our linecard


Azlan Blog Follow Azlan on LinkedIn Follow Azlan on Twitter Follow Azlan on YouTube

We use cookies to ensure that we give you the best experience on our website. If you continue without changing your browser settings we will assume that you are happy to receive all cookies on the Tech Data website. However, if you would like to, you can change the cookie settings of your browser at any time. To find out more about the cookies, see our Privacy Policy and Cookie Statement.

Agree