Il 12 maggio, la famiglia di ransomware WannaCryptor (WannaCry) ha infettato migliaia di computer in tutto il mondo. In sole 24 ore, il numero di infezioni è salito a 185.000 macchine in più di 100 paesi.
L'attacco è particolarmente pericoloso per le attività, poiché un solo dipendente infetto potrebbe diffonderlo nell'intera rete ed eventualmente anche attraverso le diverse filiali in altri paesi, il tutto senza bisogno di alcuna interazione da parte degli utenti. Ciò avviene perché il ransomware ha una componente worm che sfrutta una vulnerabilità scoperta di recente, che colpisce una vasta gamma di sistemi operativi Windows, tra cui 2008, 2008 R2, 7, 7 SP1.
Gli attacchi hanno causato moltissimi problemi a ospedali, società di telecomunicazioni e impianti di fornitura di gas o servizi pubblici. Tra le organizzazioni che hanno subito i maggiori danni c’è anche il Servizio Sanitario Nazionale (NHS) del Regno Unito, giusto per fare qualche esempio.
I ransomware tradizionali sono ancora una delle minacce più comuni per le piccole e medie imprese in tutto il mondo. Anche se in genere si diffondono tramite allegati e-mail pericolosi, exploit del browser o di applicazioni di terze parti, l'attacco di WannaCry automatizza lo sfruttamento di una determinata vulnerabilità, presente nella maggior parte delle versioni di Windows.
Perché le sue caratteristiche lo rendono così pericoloso? Semplicemente perché consentono a un aggressore di eseguire del codice in remoto sul computer vulnerabile, utilizzandolo in un secondo momento per inserire il ransomware senza alcun intervento umano e in locale. Questo comportamento assolutamente inedito lo rende lo strumento perfetto per attaccare determinati ambienti o infrastrutture, come server che eseguono una versione vulnerabile di Server Message Block (protocollo SMB).
Le nostre tecnologie di apprendimento automatico e introspezione della memoria di nuova generazione garantiscono ai nostri clienti la massima protezione da WannaCry, il ransomware più aggressivo al mondo, e analogamente a eventuali prossimi attacchi.
I clienti che utilizzano Bitdefender GravityZone e Bitdefender Hypervisor Introspection sono protetti fin da subito da questa ondata di attacchi e non vengono colpiti da questa nuova famiglia di ransomware, poiché i nostri prodotti rilevano e intercettano sia i meccanismi di invio sia tutte le varianti del ransomware WannaCry finora conosciute.
I modelli di apprendimento automatico di Bitdefender, disponibili in tutte le edizioni di Bitdefender GravityZone, sono stati progettati appositamente per rilevare attacchi inediti prima della loro effettiva attivazione.
In questo attacco specifico, un modello di apprendimento automatico a livello di endpoint, sviluppato dai laboratori di Bitdefender nel 2013, è stato in grado di rilevare e bloccare questa variante di ransomware.
Inoltre, la rivoluzionaria tecnologia di Hypervisor Introspection, unica nel mercato della sicurezza, è in grado di proteggere i server virtuali da qualsiasi meccanismo di ingresso di questi attacchi (la tecnica di sfruttamento della vulnerabilità MS17-010, altrimenti nota come EternalBlue).
Cosa ancora più importante, Bitdefender Hypervisor Introspection è stato in grado di prevenire l'exploit della vulnerabilità molto prima che venisse divulgata e risolta da Microsoft.
Ecco una dimostrazione di come Hypervisor Introspection sconfigge EternalBlue.