WannaCry, il ransomware che ha messo KO il mondo
Venerdì 12 maggio il ransomware WannaCry ha colpito 230.000 computer in 150 Paesi, criptando dati e chiedendo riscatti. L’attacco poteva essere evitato?
Venerdì 12 maggio un vasto attacco informatico, utilizzando il ransomware WannaCry (o WannaCrypt, Wanna Decryptor, WannaDecrypt0r 2.0) ha colpito più di 230.000 computer in 150 Paesi (Russia, Ucraina e Taiwan fra le più colpite) criptando il contenuto delle macchine e chiedendo un riscatto (dai 300 ai 600 dollari) in Bitcoin per il recupero dei dati.
La moneta elettronica solitamente permette una grande trasparenza nei trasferimenti da utente a utente, ma i pirati informatici di WannaCry hanno creato un sistema automatizzato di riciclaggio e ridistribuzione fra portafogli (in gergo Bitcoin Mixing o Fogging) che rende molto difficile l’identificazione della destinazione del denaro.
WannaCry avvisava i malcapitati che se non si fosse pagato per tempo, il riscatto sarebbe aumentato. Se anche gli aumenti del riscatto non fossero bastati ad indurre l’utente a pagare, un secondo timer segnalava quando tutti i dati sarebbero andati perduti definitivamente.
La propagazione di WannaCry
Il malware si è diffuso e si propaga ancora utilizzando almeno due sistemi di attacco:
- il phishing, ovvero l’utilizzo di mail di posta elettronica apparentemente innocue contenenti allegati infetti;
- Un programma malevolo chiamato anche Computer Worm, che si auto replica per infettare macchine connesse ad una rete.
L’attacco ha colpito non solo privati, ma anche compagnie o enti statali come la FedEx, Renault, Deutsche Bahn, la spagnola Telefónica, le russe MegaFon e Sberbank, il National Health Service (NHS) inglese, il Ministero degli Interni russo e l’Università degli Studi di Milano-Bicocca.
Come funziona WannaCry
WannaCry sfrutta un exploit (una tipologia di virus) chiamato EternalBlue e sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017 […]. EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata Security Update for Microsoft Windows SMB Server (4013389).
Fonte: Wikipedia
La diffusione del ransomware è stata così veloce e capillare poiché ancora oggi moltissimi utenti non aggiornano regolarmente il PC quando Windows rilascia i suoi aggiornamenti di sistema! Non disponendo della patch rilasciata a marzo, oltre 200 mila PC sono stati attaccati da WannaCry.
Il ricercatore che ha scoperto WannaCry
L’attacco è stato rallentato da un ricercatore britannico di 22 anni, Darien Huss. Huss ha scoperto che prima di infettare un computer, WannaCry cerca di contattare un indirizzo web, che nel momento in cui Huss scopriva il ransomware non risultava registrato. Il ricercatore ha ipotizzato che questo fosse un kill switch, una funzione inserita nel codice del virus nel caso in cui i suoi creatori avessero voluto bloccarlo. Huss ha così registrato quel dominio, notando subito una rapida diminuzione delle infezioni.
La negligenza, il vero motivo della diffusione di WannaCry
Come abbiamo già detto, la causa principale della diffusione capillare del ransomware è stata la negligenza degli utenti e delle aziende che, nonostante la distribuzione della patch da parte di Windows ben due mesi fa, non hanno aggiornato il PC. In queste ore e in via del tutto eccezionale, Microsoft ha deciso di rilasciare anche un fix per Windows XP, Windows 8 e Windows Server 2003.
In queste ore l’attacco continua a mietere vittime in Cina: ben 29.372 sedi colpite, incluse agenzie governative. In Europa la situazione sembra sotto controllo, ma l’allerta rimane altissima, perché è online una nuova versione di WannaCry. Quest’ultima variante è più pericolosa della precedente poiché non contiene il cosiddetto kill switch.
Come difendersi da WannaCry e dai ransomware
Ammettiamo che non è facile difendersi da attacchi così ben studiati. Tuttavia, qualche accorgimento da parte degli utenti e delle aziende potrebbe salvare PC e dati preziosi:
- Aggiornare sempre antivirus e sistema operativo;
- Ricorrere regolarmente ad un backup dei dati su un hard disk esterno;
- Scollegare dalla rete locale i PC prima di riaccenderli e chiudere tutte le applicazioni che partono in automatico, compresa la posta elettronica, prima di connettersi;
- La maggior parte dei file malevoli si contraggono tramite phishing, quindi tramite email. Bisogna prestare la massima attenzione alle mail che riceviamo, non aprire MAI allegati da quelle sospette e soprattutto non rilasciare per nessuna ragione dati sensibili quando ci vengono richiesti da mittenti sospetti!