WannaCry è il nuovo ransomware all'attacco dei sistemi Windows

Ha il nome Wanna Decrypter ma in queste ore è meglio noto come WannaCry, voglio piangere, il nuovo ransomware che dalla giornata di ieri ha caratterizzato le discussioni sul web e si sta propagando come un problema che abbiamo purtroppo già visto evidenziarsi in passato con altri episodi di questo tipo.

Il ransomware blocca il sistema sul quale è stato installato, rendendone impossibile l'utilizzo e bloccandone l'accesso ai dati salvati sino a quando non viene attivata una procedura di sblocco basata sul pagamento di una somma. Per analogia potremmo dire che si tratti di un rapimento con riscatto, tutto che avviene in un contesto digitale. L'importo è inizialmente stato pari a 300 dollari, da inviare con l'equivalente in Bitcoin, ma alcuni report indicano come la cifra sia nel frattempo aumentata sino a 600 dollari.

wannacry_02.jpg

Una volta infettato il sistema il ransomware installa una serie di programmi, aggiungendosi al registro di Windows così che sia sempre attivo ad ogni riavvio della macchina. Infetta i dati, andando a coinvolgere anche periferiche di storage collegate come hard disk esterne e chiavette USB; va a intervenire anche sui volumi immagine del sistema operativo precedentemente creati, bloccando l'accesso alle utility di riparazione del sistema. Di fatto, quindi, rende del tutto inutilizzabile il sistema richiedendo all'utilizzatore una somma di denaro per lo sblocco e riprenderne possesso.

Cuore di questo attacco informatico è lo sfruttamento di una falla presente nell'SMB Server del sistema operativo Windows, già evidenziata da Microsoft e aggiornata con il proprio security update rilasciato nel mese di marzo. La diffusione di questo nuovo ransomware è quindi stata largamente facilitata dalla connessione al web di numerosi sistemi che non sono costantemente tenuti aggiornati, e che quindi non integrano i fix a problematiche di sicurezza che periodicamente si possono presentare. Al momento attuale non ci sono dati specifici a riguardo ma non è difficile immaginare che molti dei sistemi infettati siano basati su sistema operativo Windows XP, ancora molto popolare in ambienti pubblici e che non è più supportato con patch di sicurezza da Microsoft da oltre un anno.

wannacry_distribution.jpg
Fonte: Kaspersky Lab

Il ransomware si è propagato inizialmente in Spagna e Gran Bretagna, colpendo soprattutto PC utilizzati in ambienti di lavoro e luoghi pubblici. Significativo ad esempio che in Gran Bretagna sia proliferato all'interno degli ospedali, minandone largamente l'operatività avendone mandato in blocco i sistemi informatici. Si è diffuso anche in Italia, per quanto il numero di attacchi rilevati sia circoscritto.

WannaCry è basato sui due exploit EternalBlue e DoublePulsar, provenienti da una serie di utility in possesso dell'NSA americano e che sono entrati nelle mani di hacker recentemente. Gli exploit sono da tempo attivi ma solo nel mese di marzo sono stati bloccati da sistema operativo con un aggiornamento rilasciato da Microsoft per i sistemi operativi che sono al momento attuale coperti dagli update di sicurezza.

Si consiglia di verificare di aver aggiornato il proprio sistema operativo Windows con le varie patch di sicurezza e gli update rilasciati dall'azienda, e nel caso installare la specifica patch accessibile a questo indirizzo dal sito Microsoft. Resta sempre valido il consiglio, spesso dato per scontato ma che è bene ricordare, di utilizzare un antivirus sul proprio sistema che sia aggiornato.


www.hwupgrade.it/news/sicurezza-software/wannacry-e-il-nuovo-ransomware-all-attacco-dei-sistemi-windows_68...


technet.microsoft.com/en-us/library/security/ms17-010.aspx

Attacco hacker WannaCry, polizia postale: ''Non esclusi nuovi problemi''. Ecco come difendersi


Resta alta l'allerta per le conseguenze del ransomware che colpito in 150 Paesi. ''In Italia nessun danno registrato'', ma le forze dell'ordine consigliano procedure informatiche precise per evitare la diffusione


ROMA - WannaCry continua a fare paura. A 48 ore dall'attacco informatico che ha già infettato 200mila computer tra aziende e grandi corporation in 150 Paesi, la minaccia si allunga su lunedì mattina, quando migliaia di altre macchine verranno riavviate dopo il weekend dentro aziende e uffici pubblici. Anche in Italia, dove per il momento non sono state segnalate criticità, se non un paio di università raggiunte dal ransomware, tra cui la Bicocca di Milano, l'allerta resta alta.

Lo annuncia la Polizia postale che ha rilasciato sul proprio sito un vademecum, con l'intento non solo di mettere in guardia, ma di salvaguardare le risorse - prime fra tutte quelle pubbliche, come ospedali e trasporti - per tenere lontano il cryptoworm denominato WCry, WannaCry e WanaCrypt0r. Si tratta di istruzioni vere e proprie, destinate sia ai cittadini che alle aziende, perché vengano prese le misure necessarie per evitare che i dati dei pc in rete vengano bloccati, in cambio di una richiesta di riscatto.

Un'offensiva senza precedenti, secondo l'Europol che stando alle parole del direttore Rob Wainwright, intervistato dalla britannica Itv, ha affermato che il mondo si trova ad affrontare una "crescente minaccia". La Gran Bretagna e la Russia sono stati tra i Paesi più colpiti dall'attacco frenato ''per caso'' da un informatico 22enne semplicemente registrando un dominio. Una mossa che ha arginato l'ondata verso Stati Uniti e America Latina.

Oggi però, in Italia come nel resto del mondo, ci si aspetta un secondo round che potrebbe allargare a macchia d'olio gli effetti del ransomware lanciato venerdì scorso. In vista di un possibile ''lunedì nero'' per i sistemi informatici la polizia specifica le mosse da evitare, con indicazioni che entrano nello specifico dal pòunto di vista tecnico.

''Dai primi accertamenti effettuati, - si legge sulla pagina web delle forze dell'ordine - sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese". Ecco perché è "è bene che gli utenti della Rete facciano attenzione alle seguenti procedure", fanno sapere gli esperti:

1) Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).

2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro. Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di WannaCry 2.0, ovvero al riavvio delle macchine per la giornata di domani, inizio della settimana lavorativa.

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Lato client
- eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
- aggiornare software antivirus:
- disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
- il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l'avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Lato sicurezza perimetrale
- eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);
- dove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).

(La lista degli indicatori è reperibile sul sito www.commissariatodips.it).



www.repubblica.it/tecnologia/sicurezza/2017/05/14/news/attacco_hacker_wannacry_polizia_postale_non_esclusi_nuovi_problemi_ecco_come_difendersi-165441660/?ref=RHPPLF-BH-I0-C8-P4...

Il colossale attacco hacker di venerdì, ormai noto a tutti come WannaCry o WannaCrypt è stato fermato nel corso del weekend, anche se non ha mancato di mietere le sue vittime - ben più di 200.000 computer, secondo QUESTA mappa aggiornata agli ultimi sviluppi (per chi è interessato, QUI è invece possibile osservare l'evolversi dell'infezione paese per paese). L'infezione è arrivata anche in Italia, ma a finora non ci sono rapporti di danni gravi a servizi essenziali. Tra le vittime accertate solo un paio di università, dice la Polizia Postale. In Inghilterra è andata ben peggio, con circa 16 ospedali colpiti.

Ricordiamo che l'attacco criptava diversi file - documenti, immagini e altri dati sensibili - e poi richiedeva un riscatto di 300 dollari per computer in Bitcoin entro tre giorni, dopodiché salivano a 600. Entro una settimana, i dati non erano più recuperabili. Il virus si offriva anche di decriptare alcuni file gratis come dimostrazione della sua efficacia.

Il merito del blocco dell'infezione va a un ricercatore di sicurezza bravo a fare il proprio lavoro, aiutato da una contromisura nel virus mal implementata. Nel corso dell'analisi del malware, il ricercatore noto come MalwareTech ha scoperto che WannaCry si attivava solo dopo aver tentato di collegarsi a un dominio internet non registrato. MalwareTech l'ha registrato immediatamente, una procedura comune in casi come questo. La risposta che WannaCry si aspettava da questa procedura è cambiata, e quindi non si è più attivato. La sua diffusione, così, si è interrotta.

Inizialmente si era pensato a un "kill switch" del ransomware stesso: un sistema semplice ma efficace che permettesse agli hacker di bloccare l'intera operazione, qualora ce ne fosse stata la necessità. Il ricercatore ritiene, però, che gli hacker siano stati semplicemente grossolani nell'implementare una contromisura difensiva: diversi malware, in passato, hanno usato la tecnica di tentare di collegarsi di proposito a domini non registrati, per assicurarsi di non essere in esecuzione in un ambiente sandbox creato dagli analisti appositamente per investigare sul software. Le varianti più evolute ed efficaci di questa tecnica, però, implicano connessioni multiple, e ad indirizzi casuali. WannaCrypt prevedeva una singola connessione, e sempre allo stesso indirizzo.

L'allarme, insomma, è rientrato, ma potrebbero bastare poche semplici modifiche al codice del malware per crearne una variante ben più pericolosa e letale. Fortunatamente anche Microsoft è intervenuta, rilasciando, in via del tutto eccezionale, patch di sicurezza per tutti i sistemi operativi obsoleti e non più supportati, fino a Windows XP. I link per il download diretto sono tutti disponibili a QUESTO indirizzo (sono in fondo alla pagina). Vale la pena ricordare che tutti i sistemi operativi supportati avevano già ricevuto una patch di sicurezza lo scorso marzo, ben prima che l'attacco iniziasse.

L'attacco dimostra ancora una volta i rischi concreti e tangibili derivanti dall'uso di sistemi obsoleti. A distanza di poche ore dal rientro dell'emergenza Brad Smith, presidente di Microsoft e capo della divisione legale, evidenzia come la responsabilità delle conseguenze di questo attacco ricada, in parte, anche su chi questi sistemi li mantiene ancora attivi. Non manca nemmeno la "tirata di orecchie" a NSA, FBI e altre agenzie governative che collezionano vulnerabilità per i propri scopi invece che riportarle agli sviluppatori per correggerle. Per quanto nobili le intenzioni, il rischio di una fuga di notizie è concreta, e le conseguenze potenzialmente molto gravi, come è successo in questo caso.

L'attacco, ricordiamo, sfruttava infatti una vulnerabilità nel protocollo SMB 1.0 di Windows che era stata divulgata dal gruppo di hacker noto come The Shadow Brokers qualche settimana addietro. Le informazioni provenivano proprio dall'NSA.

Come proteggersi

L'operazione di MalwareTech ha reso questo WannaCry ormai innocuo, ma come abbiamo visto in futuro potrebbero arrivare varianti più aggressive che sfruttano la stessa falla. Per chi ha sistemi operativi supportati, è sufficiente assicurarsi di aver applicato gli ultimi aggiornamenti di sicurezza. Per chi ha sistemi non supportati, può procedere all'installazione manuale delle patch emesse in via eccezionale da Microsoft. In aggiunta, si consiglia di disabilitare il supporto al protocollo legacy SMB v1. È sufficiente passare dalla pagina del pannello di controllo relativa alle funzionalità aggiuntive di Windows, e rimuovere la voce Supporto per la condivisione file SMB 1.0/CIFS. Si può rimuovere con un semplice comando anche da terminale PowerShell con privilegi elevati:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Un altro passaggio opzionale, ma utile specialmente in caso di sistemi che non possono essere aggiornati con tempestività, è di inserire una regola nel proprio firewall che blocchi ogni tipo di traffico sulla porta 445.

Non è ancora stato scovato un metodo per decriptare i file che sono già stati colpiti, ma molte società di sicurezza informatica ci stanno lavorando.


windows.hdblog.it/2017/05/15/wannacry-ransomware/



intel.malwaretech.com/botnet/wcrypt


intel.malwaretech.com/WannaCrypt.html


blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-...