Aggiornato il 16/05 con le raccomandazioni di CERT PA (Computer Emergency Response Team Pubblica Amministrazione), le notizie sull’attribuzione degli attacchi e il commento sulle responsabilità.

Dalla giornata di venerdì 12 maggio è in corso una epidemia malware senza precedenti. Il ransomware WanaDecrypt0r 2.0 si sta diffondendo a un ritmo molto elevato principalmente in Europa, Russia,Taiwan, Cina e Giappone, ma il contagio non si arresta.

Il virus, che prende anche i nomi di Wanna, WannaCry, WCry, WanaCrypt, Wanna Decryptor e WanaCrypt0r, ha già colpito numerose importanti organizzazioni, come il sistema sanitario britannico (NHS), la banca Santander e il gestore Telefonica in Spagna, Gazprom, FedEx e università italiane. Avast ha rilevato 75.000 infezioni in 99 paesi. Il malware è tradotto in ben 28 lingue.

La diffusione del malware all’Università Statale di Milano Bicocca.

1) Come avviene il contagio?

Diversamente da quanto si era inizialmente supposto, la prima infezione di un azienda non sembra essere veicolata da un attacco di phishing via email. Nonostante alcune prime informazioni parlassero di un documento bancario contenente il virus o un link verso un sito infetto, non è stato finora prodotto alcun campione di email contenente il virus o un link per il suo download.

Una volta che la macchina viene infettata – questa è la particolarità rispetto ad altri ransomware – comincia a diffondere il virus all’interno della rete locale, sfruttando Eternalblue, un exploit che incluso nel pacchetto di strumenti di cyberattacco sottratti alla National Security Agency americana (NSA) e successivamente diffusi al pubblico dall’organizzazione cybercriminale Shadow Broker.

Diversamente da quanto supposto inizialmente, WannaCry sembra diffondersi unicamente attraverso condivisioni SMB accessibili dall’esterno della rete

Eternalblue sfrutta una vulnerabilità del protocollo per la condivisione dei file SMB, purtoppo attivo su moltissimi client e server Windows nelle reti aziendali.

Al momento, l’ipotesi è che Eternalblue venga sfruttato anche per la prima infezione in una rete, sfruttando condivisioni di rete SMB accessibili via Internet dall’esterno della rete aziendale.

2) Quali sistemi sono vulnerabili? Quali aggiornamenti bisogna installare?

Le versioni attuali e supportate di Windows sono già state patchate lo scorso 14 Marzo, a seguito della diffusione iniziale dei tool dell’NSA. Se avete installato quell’aggiornamento, potete stare abbastanza tranquilli.

Eccezionalmente, Microsoft ha reso disponibili degli aggiornamenti anche per le versioni di Windows non più supportate, ma ancora ampiamente diffuse in ambito aziendale, come Windows XP, Windows Server 2003 e (in minor misura) Windows 8.

Da questi indirizzi è possibile scaricare gli aggiornamenti che correggono la vulnerabilità sfruttata da WanaCrypt 2.0 sui sistemi non supportati:

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

Microsoft ha anche rilasciato due documenti informativi sul caso, disponibili ai seguenti indirizzi:

Microsoft Security Bulletin MS17-010 – Critical

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

3) Cosa accade ai computer colpiti da Wana Crypt0r 2.0?

I file presenti sul pc infettato vengono cifrati e diventa impossibile accedere a essi se non si fornisce una password. Le estesioni dei file vengono cambiate in .wnry, .wcry, .wncry e .wncrypt.

Viene visualizzato sullo schermo un messaggio che spiega che il contenuto del pc è stato cifrato, e che per ottenere la chiave di decifrazione è necessario pagare un riscatto, da 300 a 600 euro in  Bitcoin*, con le istruzioni per effettuare il pagamento.

Schermata Wana Decryptor

Il salvaschermo del pc viene sostituito con la seguente immagine.

_wanadecryptor__640-salvaschermo

3) WanaCrypt viene rilevato dagli antivirus?

I principali antivirus hanno ricevuto aggiornamenti per rilevare e bloccare questo ransomware, anche nella sua versione più recente e dannosa.

Ovviamente è necessario che le firme dei virus vengano aggiornate immediatamente all’ultima versione disponibile, forzando gli aggiornamenti se fossero pianificati più avanti nel tempo.

Anche Windows Defender, la soluzione di sicurezza inclusa in Windows, rileva e blocca la minaccia. In mancanza di altra protezione, raccomandiamo quindi di attivare come minimo Windows Defender e di aggiornarlo prima di compiere qualsiasi altra operazione con il computer.

4) Quanto a lungo continuerà la diffusione?

Al momento, la diffusione su rete locale è stata rallentata grazie a una scoperta fatta dal ricercatore di sicurezza MalwareTech. Analizzando i server contattati dal malware, MalwareTech ha individuato un dominio non registrato (http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), e ha pensato di registrarlo a suo nome per poter tenere traccia della diffusione del virus.

Un secondo kill switch è stato successivamente identificato dal ricercatore di sicurezza Matthieu Suiche, che ha pubblicato i dettagli della scoperta sul suo blog.

Apparentemente, come effetto collaterale, la registrazione di questi dominio ha bloccato, la diffusione del malware, almeno su alcuni “ceppi” del virus. Per qualche motivo, il codice che diffonde il virus sulla rete locale viene eseguito solo se la chiamata al dominio fantasma restituisce un errore, e non se invece va a buon fine.

Questo blocco, forse un metodo di autodistruzione inserito volutamente dai criminali (kill switch), ha però effetto solo su alcune varianti del virus in circolazione. Ne sono state rilevate almeno altre due.

Il contenimento del contagio dipende da quanto velocemente gli amministratori di sistema, o gli utenti privati, riusciranno ad aggiornare le macchine vulnerabili. In questo caso, una efficace e rigorosa gestione degli asset informatici può fare la differenza nella velocità di risposta. Temiamo però che sentiremo parlare a lungo di questo malware e delle sue varianti.

5) Cosa bisogna fare subito per evitare il contagio in azienda

Alcune indicazioni e consigli di buon senso per impedire o limitare possibili infezioni al prossimo rientro in ufficio lunedì.

  1. Verificate immediatamente lo stato di aggiornamento dei server e dei PC Windows aziendali, applicando gli aggiornamenti automatici per i sistemi supportati, o applicando le patch per quelli non più supportati usando i link indicati qui sopra.
  2. Fate lo stesso con gli antivirus: aggiornate tutto alle ultime signature disponibili.
  3. Blocco del protocollo SMB sulla frontiera.
  4. Disattivazione del protocollo SMB ove non specificamente richiesto. In particolare, disabilitare il protocollo SMBv1 come descritto in questo articolo della Knowledge Base di Microsoft.
  5. Se possibile, bloccare dal firewall l’accesso dall’esterno alla porta 445, usata per la condivisione SMB.
  6. Blocco sul perimetro del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault, US-CERT e CERT-PA
  7. Abilitare il traffico http verso gli URL:
    hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    hxxp://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    e verificare che siano accessibili dall’interno della rete aziendale, in modo da attivare il “kill switch” presente in alcune versioni del malware e bloccare così la sua attività.
  8. In alternativa al punto 4 è possibile redirigere tutto il traffico http diretto verso il web server in esso specificato verso un server fittizio che genera una risposta HTTP code 200 per qualsiasi richiesta in arrivo.

6) Riavvio delle macchine spente

Le macchine che erano spente al momento della diffusione del malware e non sono state accese sono sicuramente indenni. Per questo bisogna prendere le giuste precauzioni per evitare che la compromissione presente in altre macchine della rete possa estendersi anche a quelle “sane”. Ecco le giuste mosse da compiere, suggerite da CERT PA.

  1. Prima di accendere la macchina, scollegarla dalla rete locale disconnettendo il cavo di rete.
  2. Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, come ritardi molto prolungati, comparsa di messaggi insoliti, etc., non procedere oltre nel riavvio e chiedere il supporto esperto.
  3. Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file. Se invece ne viene individuato qualcuno, non procedere oltre nel riavvio e chiedere il supporto esperto.
  4. Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.
  5. Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Dopo il termine dell’aggiornamento il sistema può essere utilizzato normalmente.

7) WannaCry: di chi è la colpa?

Nel determinare le responsabilità di quanto avvenuto, ci sono due domande da farsi: chi c’è dietro la creazione e l’utilizzo di WannaCry, e chi sull’altro fronte non ha messo in atto le misure di difesa necessarie.

Come spesso avviene in questi casi, non è semplicissimo attribuire un malware a un determinato autore o struttura criminale. Questa gente sa come rendersi anonima in rete.

Al momento, l’indizio più forte riguarda alcune similarità che il ricercatore Eric Chien di Symantec ha riscontrato tra il codice di Wana Crypt0r e alcuni programmi utilizzati dal Lazarus Group, un’organizzazione cybercriminale che si ritiene legata alla Corea del Nord e responsabile in passato di azioni di cyberspionaggio ai danni della Corea del Sud, dell’hackeraggio di Sony Pictures e del furto di 81 milioni di dollari alla Banca del Bangladesh.

Altri ricercatori hanno fatto notare che le similarità nel codice decompilato potrebbero però essere riconducibili all’utilizzo di una stessa libreria di programmazione.

Chi, però, avendo l’incarico di proteggere gli asset aziendali e governativi, e più in generale preservare l’ecosistema digitale, non ha fatto il suo lavoro, o ha addirittura remato contro?

Sarebbe facile attribuire tutta la colpa agli IT manager che in quasi due mesi non hanno applicato una patch di sicurezza distribuita lo scorso marzo, tra l’altro dopo una anomala pausa di un mese nella distribuzione di patch da parte di Microsoft (a questo punto probabilmente necessaria per patchare le vulnerabilità scoperte a seguito del leak degli strumenti di attacco sottratti all’NSA).

O che mantengono in produzione macchine con sistemi operativi il cui supporto e gli aggiornamenti sono cessati da anni (3 nel caso di Windows XP, che è tuttora il terzo sistema operativo per diffusione). In alcuni casi, il passaggio a sistemi successivi non viene fatto per mantenere la compatibilità con software antiquati, che non girano su sistemi operativi moderni.

Qui però dobbiamo coinvolgere come minimo il livello superiore: imprenditori e dirigenti che non stanno investendo nell’ammodernamento dell’infrastruttura e del software. Davvero pensano di essere competitivi in un mondo digitale usando software scritti 10 o 20 anni fa? Davvero pensano che ci si possa permettere, tra cybercriminali e diffusione pubblica di strumenti di attacco di potenza “governativa”, di mantenere in produzione macchine così vulnerabili?

Davvero imprenditori e AD pensano di essere competitivi in un mondo digitale usando software scritti 10 o 20 anni fa?

Arriviamo così al terzo livello. Gli stati sovrani stanno facendo incetta di vulnerabilità, e invece di usare queste informazioni per rendere cittadini e aziende più sicure – comunicandole ai vendor e permettendo loro di correggere le falle – le tengono nascoste per poterle sfruttare sui propri bersagli. Sottovalutando però due pericoli:

  1. che anche altri stati, od organizzazioni criminali, potrebbero aver individuato la stessa vulnerabilità, rimenendo liberi di sfruttarla per i loro scopi;
  2. che, come è stato dimostrato dal furto dei tool di Equinox Group/NSA, quelle informazioni e quegli strumenti possono essere rubati, ed eventualmente poi diffusi al pubblico.

Molto chiara in questo senso è stata la presa di posizione di Microsoft, che ha puntato il dito contro questa pratica dei governi.

8) Altre risorse utili

Alcuni articoli pubblicati in passato su questo argomento:

Ransomware: come riconoscerlo
Ransomware: perché pagare il riscatto è la scelta sbagliata
5 consigli utili su come proteggersi dal ransomware

 

*nella prima versione dell’articolo, avevamo erroneamente  indicato il valore del riscatto in 300-600 Bitcoin, invece di 300-600 euro in Bitcoin. Ci scusiamo per la svista.