Wannacrypt: una nuova campagna ransomware

Il punto della situazione sul ransomware che lo scorso fine settimana ha guadagnato prime pagine virtuali, cartacee e televisive.

E’ possibile monitorare in tempo reale la diffusione del virus dal sito https://intel.malwaretech.com ; questa immagine è stata catturata ad esempio stamattina.

Per quanto lo scorso weekend ne abbiano già parlato (a grandi linee e con diverse inesattezze) tv e giornali, è impossibile non iniziare questa nuova settimana senza parlare di Wannacrypt, un ransomware che sta creando diversi problemi ad aziende e privati di mezzo mondo (circa 74 paesi interessati e, per il momento, quasi 200.000 casi registrati). Nel Gennaio 2015  l’Italia era stata colpita da Cryptolocker, un malware che guadagnò per qualche giorno l’interesse dell’informazione generalista anche grazie a numerosi casi localizzati in vari uffici comunali – ritornò  in azione 12 mesi dopo con un’ennesima campagna malevola.

Wannacrypt (noto anche come Wana, Wcry ed altri appellativi simili) rappresenta, in sintesi, un’evoluzione di quanto visto in passato: i computer infettati (ancora una volta sistemi operativi Windows) diventano delle teste di ponte che contribuiscono alla diffusione del worm che cerca altri bersagli via internet e rete locale.

Altro elemento inedito è la modalità di avvio dell’attacco che non necessita di alcuna interazione da parte dell’utente. Se Cryptoloker crittava i file presenti nel sistema (sbloccabili con il pagamento di un riscatto in bitcoin) solo dopo essere stato inavvertitamente lanciato con un classico doppio clic (si spacciavano file .CAB per presunte fatture in pdf), Wannacrypt esegue autonomamente la scansione dei sistemi in cerca di una specifica falla: si tratta di una vulnerabilità che Redmond ha indicato con la sigla MS17-010 (interessa il servizio Server Message Block o SMBv1) ed ha patchato lo scorso Marzo 2017 su tutti i sistemi attualmente supportati dalla compagnia.

Naturalmente Windows XP e Windows Server 2003 (discretamente popolari nonostante gli anni) non lo sono più da alcuni anni e si rivelano i bersagli ideali del malware – ed è per questo motivo che Microsoft ha rilasciato in via straordinaria un aggiornamento (è richiesto il Service Pack 3) che ha lo scopo di rallentare la propagazione del worm.

Wannacrypt: le origini del ransomware

Wannacrypt ransomware

L’ormai famosa finestra di dialogo, ripresa da tutti i siti nazionali/internazionali specializzati e non, che compare nei sistemi colpiti dal ransomware. E’ curioso notare come le istruzioni per recuperare “teoricamente” i dati crittati siano state localizzate in decine di lingue.

La base di partenza utilizzata dal non ancora identificato manipolo di programmatori del ransomware sarebbe stata messa disposizione da Shadow Brokers, un gruppo di hacker che ad Aprile 2017 ha diffuso in Rete alcuni strumenti adoperati dalla stessa NSA per operazioni di spionaggio. Un exploit detto “Eternalblue” ed utilizzato da un tool concepito per assumere il controllo di macchine che presentano la falla MS17-010, sarebbe stato associato ad un payload autoreplicante ottenendo un perfetto worm ad ampia diffusione.

“Il vettore iniziale dell’infezione è qualcosa che stiamo ancora cercando di identificare. Tenendo conto che questo attacco sembra essere mirato, potrebbe essere stato avviato attraverso una vulnerabilità nelle difese di un network o un attacco spear phishing ben congegnato. A parte questo, si sta diffondendo attraverso le reti mediante la vunerabilità [sfruttata da Eternalblue], infettando tutti i sistemi non aggiornati” ha dichiarato un ricercatore della compagnia Malwarebytes.

Per un caso fortuito, un dipendente dell’azienda di sicurezza Kryptos Logic è riuscito a rallentare la diffusione del worm assumendo il controllo di un dominio legato al processo di disattivazione del malware – e presente nel codice di quest’ultimo. La registrazione, avvenuta alle 6 del mattino (orario della California) di venerdì scorso, ha “disinnescato” una delle campagne malware in corso. Il numero di casi è si diminuito ma l’attenzione deve rimanere alta. Alcuni esperti di sicurezza ipotizzano un nuovo “picco” proprio durante questa settimana, pensando probabilmente a sconosciute varianti di Wannacrypt ed a tutti i sistemi in cui il worm è ancora attivo.

Fonti: 1, 2

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *