Wannacrypt: il “ransomware” che scuote il Web

Ransomware Wannacrypt

La richiesta di riscatto in bitcoin che appare nei terminali infetti. Wana Decrypt0r non è altro che uno degli alias di Wannacrypt.

L’allerta Wannacrypt è stata lanciata lo scorso fine settimana quando, nell’arco di poche ore, migliaia di computer con sistemi operativi Windows (versioni non supportate e versioni supportate ma non aggiornate) sono stati infettati da un ransomware sofisticato (parleremo successivamente delle suo origini): non si parlava infatti di PC di privati cittadini (purtroppo ugualmente colpiti) ma di sistemi informatici come quelli della Renault, di 25 organizzazioni legate al NHS (National Health Service) del Regno Unito, del provider spagnolo Telefonica e molti altri. Il bilancio provvisorio? 99 nazioni interessate e oltre 200.000 casi legati a Wannacrypt. Ma di cosa stiamo parlando esattamente?

In linea di massima l’obiettivo e le modalità di funzionamento del virus sono simili a quelle del meno avanzato Cryptoloker, già  noto all’opinione pubblica italiana: il malware critta i dati presenti nel sistema colpito “scambiando” la chiave di cifratura (necessaria allo sblocco) con una quantità variabile di bitcoin (un riscatto, in inglese ransom, ecco spiegata la “genesi” del nome).

Wannacrypt alza tuttavia l’asticella della sfida agli esperti di cybersicurezza mettendo in campo inedite caratteristiche: prima di tutto l’infezione non necessita dell’intervento diretto degli utenti. A differenza di Cryptoloker ed affini, che contavano sull’apertura di un file o di un link, Wannacrypt esegue autonomamente la scansione degli obiettivi in cerca della falla che può permettergli di superare le difesa del sistema. La vulnerabilità in questione, che lo ricordiamo nuovamente interessa solo i sistemi operativi Windows, affligge il servizio SMB (Server Message Block) e permette al worm di prendere il controllo del sistema. E’ comunque altamente probabile che le molteplici varianti del worm possano affidarsi anche ai “classici metodi” di apertura dei file.

La seconda più tangibile e pericolosa differenza è la natura “autoreplicante” di Wannacrypt: il malware è infatti in grado di infettare qualsiasi altro sistema non protetto connesso alla stessa rete locale dell’obiettivo appena conquistato – che diventa anche un nuovo punto di appoggio per supportare la diffusione via Internet.

Come difendersi da Wannacrypt

Wannacrypt è un ransomware che sfrutta una vulnerabilità presente in tutte le versioni più note dell’OS Microsoft, da XP fino a Windows 10 (incluse anche le varianti Server). E’ il servizio SMB ad aprire la strada al worm.

Chi utilizza una delle versioni attualmente supportate da Microsoft (da Windows 7 in poi) è al sicuro ma solo se sono stati installati i più recenti aggiornamenti di sicurezza. Nello specifico la patch che ha neutralizzato la falla è stata distribuita da Redmond a marzo 2017 e reca la sigla attribuita allo stesso bug (MS17-010).

Chi utilizza versioni di Windows non più supportate (XP, Vista, 8, Windows Server 2003 e 2008) dovrà installare gli aggiornamenti di sicurezza rilasciati in via del tutto straordinaria da Microsoft.

Ed in generale valgono le solite buone norme da seguire: utilizzare un buon antivirus e tenerlo sempre aggiornato, non aprire allegati o altri link presenti nelle email che riceviamo senza aver accertato l’attendibilità del mittente.

Wannacrypt: breve storia e prospettive future

In base a quanto hanno scoperto gli esperti di sicurezza analizzandone il codice sorgente e non solo, Wannacrypt utilizzerebbe un exploit (Eternalblue) adoperato dalla NSA (National Security Agency) per operazioni di sorveglianza e controllo remoto di terminali. Il tool che sfruttava Eternalblue sarebbe stato trafugato dal gruppo Shadow Brokers, naturalmente degli hacker, e diffuso in Rete lo scorso aprile. L’aggiunta di alcune caratteristiche peculiari, ricordate nel primo paragrafo, unite alla scarsa sensibilità e disattenzione in materia di sicurezza informatica hanno contribuito a diffondere rapidamente il worm.

Che cosa ci si aspetta sul breve termine? L’arrivo di varianti ancora più sofisticate è inevitabile. Secondo l’azienda danese Heimdal Security circolerebbe già una nuova famiglia (detta Uiwix) che ad esempio non si appoggia più ad un dominio esterno per un’evenutale disattivazione (kill switch) del worm, una scoperta che lo scorso venerdì ha permesso ad un esperto di sicurezza di fermare una delle campagne in corso. In sintesi: il malware si attiva se riesce a connettersi ad un dominio (inesistente): il fallimento di tale operazione porta all’esecuzione delle procedure di crittazione dei sistemi colpiti [sono emerse informazioni aggiuntive sul meccanismo del dominio utilizzato dal malware, ne abbiamo parlato qui sotto nell’area commenti – ndr]. L’informatico non ha fatto altro che registrare il dominio e renderlo accessibile, salvando migliaia di utenti.

Fonti: 1, 2, 3, 4