A distanza di due settimane dal lancio della campagna ransomware, il pericolo Wannacrypt sembra essere quasi rientrato. Prima di passare in rassegna le informazioni che gli esperti di sicurezza hanno divulgato in merito all’origine dell’epidemia virtuale ed ai vettori che ne hanno facilitato la diffusione, è il caso di iniziare dai due utili strumenti resi disponibili negli ultimi giorni da alcuni ricercatori francesi.
Entrambi i tool sono in grado (con alcuni limiti che elencheremo successivamente) di reperire la chiave crittografica utilizzata dal ransomware, evitando quindi agli utenti di pagare la somma richiesta per lo sblocco (una cifra in bitcoin compresa tra i 300 ed i 600 dollari). Il primo software si chiama Wannakey ed è destinato al sistema operativo Windows XP. Adrien Guinet (Quarkslab), l’ideatore del tool, ha sfruttato una “dimenticanza” dell’API Microsoft Cryptographic, alla quale si appoggia il ransomware, che in alcune condizioni non cancella le informazioni utilizzate per generare la chiave di crittografia. Wannakey non fa altro che andare a cercare nella memoria (RAM) del dispositivo le informazioni relative alla chiave appena menzionata. Come abbiamo anticipato, l’operazione di recupero non andrà sempre a buon fine; bisogna infine ricordare che nel caso in cui il computer infetto sia stato riavviato, eventuali dati presenti in memoria non saranno più disponibili rendendo vano l’utilizzo di Wannakey.
Il secondo software si chiama Wannakiwi ed è stato realizzato dal ricercatore francese Benjamin Delpy. Rispetto al precedente, il supporto è esteso a quasi tutte le varianti potenzialmente attaccabili dall’exploit Eternalblue: Windows XP, 7, Vista, Server 2008/2008 R2. E’ stata inoltre migliorata la procedura di recupero della chiave crittografica che non necessita di tool di terze parti per essere riassemblata e offre un’interfaccia grafica più intuititva. Ancora una volta i sistemi infetti ma riavviati non potranno essere “soccorsi” dal tool.
Wannacrypt: diffusione del malware ed OS colpiti
In queste settimane Malwarebytes (così come altre aziende di sicurezza informatica) ha studiato attentamente il ransomware raccogliendo diverse informazioni utili a spiegare la genesi della campagna ransomware ed i principali canali di diffusione. Contrariaramente a quanto ipotizzato in un primo momento, il worm non sarebbe stato inviato ai bersagli primari (università, aziende di telecomunicazioni, istituti ospedalieri etc.) via email, modalità preferita da chi lancia solitamente attacchi di questo genere; gli hacker avrebbero effettuato invece una scansione dei sistemi potenzialmente vulnerabili (le cui protezioni erano quindi aggirabili dall’exploit Eternalblue dell’NSA) che, una volta infettati, avrebbero “contagiato” successivamente tutte le altre macchine esposte e connesse alla rete locale.
Un secondo dato, ugualmente sorprendente, riguarda le versioni del sistema operativo Windows colpite dal worm. I primi rapporti mettevano in guardia soprattutto coloro che utilizzano le release più obsolete dell’OS Microsoft, ovvero XP e Windows Server 2003. Contro ogni aspettativa, gli addetti ai lavori hanno invece scoperto che i principali vettori del contagio sono state le macchine che adoperavano Windows 7 e Windows Server 2008 (naturalmente entrambi non aggiornati alla patch di sicurezza di Marzo 2017). E’ la distrazione e/o la non curanza delle grandi compagnie ad aver facilitato il lavoro degli hacker.
“Perchè XP e Windows Server 2003 sono stati risparmiati da Wannacry?”, si chiederanno alcuni lettori. Semplicemente perchè, nonostante il worm riuscisse a sfruttare la falla NSA, il malware non garantiva un funzionamento impeccabile come invece avvenuto su Windows 7 e Windows Server 2008. Windows 10, ugualmente presente nella lista degli obiettivi, sembra essere stato interessato da una percentuale trascurabile di casi.
Risultati inattesi
A fronte del numero di macchine colpite dal worm (oltre 200.000 casi), gli esperti di sicurezza affermano che ad oggi la campagna malware non ha fruttato agli ancora ignoti mandanti i guadagni sperati: le stime relative alla prima settimana parlano di circa 90.000$, cifra ragguardevole ma non all’altezza del caos generato e del numero di computer “ricattati”. Ad ostacolare la raccolta fondi, osserva Malwarebytes, anche il clamore suscitato dalla vicenda che ha attirato l’attenzione “indesirata” (per gli hacker ovviamente) delle agenzie federali ed investigative di mezzo mondo – incluse quelle di Stati Uniti, Regno Unito e Russia.
E per quanto riguarda i presunti creatori del worm? A questa domanda non è stata data ancora una risposta. L’unica traccia realmente interessante porta ad alcune righe di codice apparse sul noto portale Github qualche ora prima che la campagna ransomware iniziasse. Il progetto in questione, caricato online da un certo ZeroSum0x0, non era altro che l’implementazione dell’exploit Eternalblue in Ruby. Se poi quest’ultima sia servita da base per gli hacker dietro a Wannacry è una teoria che per essere avvalorata necessiterà di ulteriori prove.
Fonte: 1