Da venerdì 12 Maggio 2017 più di 200.000 computer in tutto il mondo sono sotto sequesto. Il malware WannaCry si è diffuso grazie alle ricerche rubata alla NSA ed ora chiede un riscatto in bitcoin.
Cos’è WannaCry
Si tratta di un software dannoso (malware) di tipo sequestro e riscatto (ransomware). La vittima riceve un messaggio che presenta il malware come un aggiornamento od un altro file utile ed importante. Una volta installato, WannaCry cripta il contenuto del computer impedendone l’utilizzo. Per rientrare in possesso dei propri dati occorre quindi pagare un riscatto (solitamente 300 dollari in bitcoin) sperando che l’autore dell’attacco fornisca in cambio la chiave per decriptare i dati. Finito di lavorare sul computer della vittima, WannaCry si diffonde sugli altri dispositivi connessi nella stessa rete locale tramite il protocollo di condivisione SMB.
Nascita di WannaCry
Questo malware sfrutta la vulnerabilità EternalBlue sviluppata dalla NSA e poi rubata e diffusa dal gruppo The Shadow Brokers in data 14 Aprile 2017. A seguito della sua pubblicazione, Microsoft ha rilasciato l’aggiornamento di sicurezza 4013389 in data 14 Marzo 2017 per i sistemi Windows XP e successivi; i computer aggiornati non vengono infettati.
Quindi anche questa è una delle creature nate dalla fuga di notizie ai danni della National Security Agency Statunitense. Infatti wcry e wanna decrypt0r (cugini della minaccia attuale) erano già diffusi da Febbraio 2017, ma solo ora sono stati potenziati con il sistema di contagio tramite protocollo SMB. A livello tecnico è come se qualcuno avesse mischiato l’influenza con l’ebola…
Come si contrasta WannaCry
- Non scaricare allegati da mail con mittente che non conosci o dal contenuto sospetto.
- Se non sai che cosa sia SMB allora vuole dire che non lo utilizzi; potrebbe essere una buona idea disattivarlo sul tuo computer. Questo evita che tu possa venir infettato quando frequenti reti pubbliche come università, ospedali, centri commerciali.
- Solo i sistemi Windows non aggiornati vengono infettati. Assicurati di aver ricevuto l’aggiornamento Windows 4013389 del 14 Marzo 2017.
- Segui le linee guida ufficiali del governo Italiano.
Davide ferma Golia con un dominio da 10 dollari
Mentre il mostro seminava terrore sulla rete, un ricercatore Britannico (anonimo) di 22 anni si è procurato il malware e lo ha studiato. Monitorando le connessioni ha notato che il programma tentava di interrogare un dominio specifico prima di diffondersi. E’ bastato registrare tale dominio per attivare l’interruttore di emergenza (in gergo kill-switch) che frena la diffusione di WannaCry. Questa tecnica viene spesso utilizzata per mantenere il controllo su altri tipi di malware.
Lo Strano Caso di WannaCry
Solo per te che ami i complotti mi permetto di farti notare alcune interessanti coincidenze. Ecco un’epidemia nata da un malware poco infettivo basato su criptaggio proprio quando i nuovi supercomputer di Cina ed USA potrebbero rendere obsolete alcune tecniche di criptaggio. Abbiamo un ragazzo che decompila la minaccia e riesce in poche ore dove Symantec, Kaspersky e Norton neppure paiono provare. Nasce una minaccia globale per sistemi Windows obsoleti proprio quando le amministrazioni pubbliche e le aziende risultano restie ad abbandonare le versioni Windows vecchie (ci sono ancora in giro degli XP!).