Wannacrypt: il “ransomware” che scuote il Web

Ransomware Wannacrypt

La richiesta di riscatto in bitcoin che appare nei terminali infetti. Wana Decrypt0r non è altro che uno degli alias di Wannacrypt.

L’allerta Wannacrypt è stata lanciata lo scorso fine settimana quando, nell’arco di poche ore, migliaia di computer con sistemi operativi Windows (versioni non supportate e versioni supportate ma non aggiornate) sono stati infettati da un ransomware sofisticato (parleremo successivamente delle suo origini): non si parlava infatti di PC di privati cittadini (purtroppo ugualmente colpiti) ma di sistemi informatici come quelli della Renault, di 25 organizzazioni legate al NHS (National Health Service) del Regno Unito, del provider spagnolo Telefonica e molti altri. Il bilancio provvisorio? 99 nazioni interessate e oltre 200.000 casi legati a Wannacrypt. Ma di cosa stiamo parlando esattamente?

In linea di massima l’obiettivo e le modalità di funzionamento del virus sono simili a quelle del meno avanzato Cryptoloker, già  noto all’opinione pubblica italiana: il malware critta i dati presenti nel sistema colpito “scambiando” la chiave di cifratura (necessaria allo sblocco) con una quantità variabile di bitcoin (un riscatto, in inglese ransom, ecco spiegata la “genesi” del nome).

Wannacrypt alza tuttavia l’asticella della sfida agli esperti di cybersicurezza mettendo in campo inedite caratteristiche: prima di tutto l’infezione non necessita dell’intervento diretto degli utenti. A differenza di Cryptoloker ed affini, che contavano sull’apertura di un file o di un link, Wannacrypt esegue autonomamente la scansione degli obiettivi in cerca della falla che può permettergli di superare le difesa del sistema. La vulnerabilità in questione, che lo ricordiamo nuovamente interessa solo i sistemi operativi Windows, affligge il servizio SMB (Server Message Block) e permette al worm di prendere il controllo del sistema. E’ comunque altamente probabile che le molteplici varianti del worm possano affidarsi anche ai “classici metodi” di apertura dei file.

La seconda più tangibile e pericolosa differenza è la natura “autoreplicante” di Wannacrypt: il malware è infatti in grado di infettare qualsiasi altro sistema non protetto connesso alla stessa rete locale dell’obiettivo appena conquistato – che diventa anche un nuovo punto di appoggio per supportare la diffusione via Internet.

Come difendersi da Wannacrypt

Wannacrypt è un ransomware che sfrutta una vulnerabilità presente in tutte le versioni più note dell’OS Microsoft, da XP fino a Windows 10 (incluse anche le varianti Server). E’ il servizio SMB ad aprire la strada al worm.

Chi utilizza una delle versioni attualmente supportate da Microsoft (da Windows 7 in poi) è al sicuro ma solo se sono stati installati i più recenti aggiornamenti di sicurezza. Nello specifico la patch che ha neutralizzato la falla è stata distribuita da Redmond a marzo 2017 e reca la sigla attribuita allo stesso bug (MS17-010).

Chi utilizza versioni di Windows non più supportate (XP, Vista, 8, Windows Server 2003 e 2008) dovrà installare gli aggiornamenti di sicurezza rilasciati in via del tutto straordinaria da Microsoft.

Ed in generale valgono le solite buone norme da seguire: utilizzare un buon antivirus e tenerlo sempre aggiornato, non aprire allegati o altri link presenti nelle email che riceviamo senza aver accertato l’attendibilità del mittente.

Wannacrypt: breve storia e prospettive future

In base a quanto hanno scoperto gli esperti di sicurezza analizzandone il codice sorgente e non solo, Wannacrypt utilizzerebbe un exploit (Eternalblue) adoperato dalla NSA (National Security Agency) per operazioni di sorveglianza e controllo remoto di terminali. Il tool che sfruttava Eternalblue sarebbe stato trafugato dal gruppo Shadow Brokers, naturalmente degli hacker, e diffuso in Rete lo scorso aprile. L’aggiunta di alcune caratteristiche peculiari, ricordate nel primo paragrafo, unite alla scarsa sensibilità e disattenzione in materia di sicurezza informatica hanno contribuito a diffondere rapidamente il worm.

Che cosa ci si aspetta sul breve termine? L’arrivo di varianti ancora più sofisticate è inevitabile. Secondo l’azienda danese Heimdal Security circolerebbe già una nuova famiglia (detta Uiwix) che ad esempio non si appoggia più ad un dominio esterno per un’evenutale disattivazione (kill switch) del worm, una scoperta che lo scorso venerdì ha permesso ad un esperto di sicurezza di fermare una delle campagne in corso. In sintesi: il malware si attiva se riesce a connettersi ad un dominio (inesistente): il fallimento di tale operazione porta all’esecuzione delle procedure di crittazione dei sistemi colpiti [sono emerse informazioni aggiuntive sul meccanismo del dominio utilizzato dal malware, ne abbiamo parlato qui sotto nell’area commenti – ndr]. L’informatico non ha fatto altro che registrare il dominio e renderlo accessibile, salvando migliaia di utenti.

Fonti: 1, 2, 3, 4

 

  • Chissà quante aziende è riuscito a “salvare” questo ragazzo registrato il nome del dominio incriminato… e NESSUNA probabilmente gli dirà mai grazie.

    Una cosa non ho capito, come mai questi criminali hanno lanciato un collegamento su un dominio inesistente?!

    • internetpost

      Il ragazzo che ha (fortunatamente) individuato il dominio ha fornito in queste ore informazioni aggiuntive. Quel che inizialmente sembrava una sorta di sistema per bloccare la campagna malware si è invece rivelato un espediente per verificare se il malware si trovi o meno in un ambiente sandbox. Dal portale Ars Technica:

      “The reason that was suggested is that the domain is a “kill switch” in case something goes wrong, but I now believe it to be a badly thought out anti-analysis.
      In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to. A side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).

      I believe the malware creators were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox and the malware exits to prevent further analysis. This technique isn’t unprecedented: the Necurs trojan queries five totally random domains, and if they all return the same IP it exits”.