In particolare, la società di telecomunicazioni spagnola Telefonica è stata una vittima, così come lo sono stati gli ospedali di tutto il Regno Unito. Secondo il Guardian, gli attacchi nel Regno Unito hanno colpito almeno 16 strutture del Sistema sanitario nazionale (NHS) e hanno compromesso direttamente i sistemi informatici (IT) utilizzati per garantire la sicurezza dei pazienti.
Video consigliati
Avast
Il ransomware WanaCryptOR, o WCry, si basa su una vulnerabilità identificata nel protocollo Windows Server Message Block ed è stata corretta Martedì della patch di marzo 2017 di Microsoft aggiornamenti di sicurezza,
riferisce Kaspersky Labs. La prima versione di WCry è stata identificata a febbraio e da allora è stata tradotta in 28 lingue diverse.Microsoft ha risposto all'attacco con il proprio post sul blog Windows Security, in cui ha rafforzato il messaggio che i PC Windows attualmente supportati e che eseguono le ultime patch di sicurezza sono al sicuro dal malware. Inoltre, Windows Defender era già stato aggiornato per fornire protezione in tempo reale.
"Il 12 maggio 2017 abbiamo rilevato un nuovo ransomware che si diffonde come un worm sfruttando le vulnerabilità precedentemente corrette", inizia il riassunto dell'attacco di Microsoft. “Mentre gli aggiornamenti di sicurezza vengono applicati automaticamente nella maggior parte dei computer, alcuni utenti e aziende potrebbero ritardare la distribuzione delle patch. Sfortunatamente, il malware, noto come WannaCrypt, sembra aver colpito i computer su cui non è stata applicata la patch per queste vulnerabilità. Mentre l’attacco è in corso, ricordiamo agli utenti di installare MS17-010 se non lo hanno già fatto.”
La dichiarazione continua: “La telemetria antimalware di Microsoft ha immediatamente rilevato i segnali di questa campagna. I nostri sistemi esperti ci hanno fornito visibilità e contesto su questo nuovo attacco nel momento in cui si è verificato, consentendo a Windows Defender Antivirus di fornire difesa in tempo reale. Attraverso l’analisi automatizzata, l’apprendimento automatico e la modellazione predittiva, siamo stati in grado di proteggerci rapidamente da questo malware”.
Avast ha inoltre ipotizzato che l'exploit sottostante sia stato rubato all'Equation Group, sospettato di essere legato alla NSA, da un gruppo di hacker che si fa chiamare ShadowBrokers. L'exploit è noto come ETERNALBLUE e denominato MS17-010 da Microsoft.
Quando il malware colpisce, cambia il nome dei file interessati per includere un'estensione ".WNCRY" e aggiunge un "WANACRY!" marcatore all'inizio di ogni file. Inoltre inserisce la richiesta di riscatto in un file di testo sul computer della vittima:
Avast
Quindi, il ransomware visualizza il messaggio di riscatto che richiede tra i 300 e i 600 dollari in bitcoin e fornisce istruzioni su come pagare e quindi recuperare i file crittografati. Il linguaggio utilizzato nelle istruzioni per il riscatto è curiosamente casuale e sembra simile a quello che si potrebbe leggere in un'offerta per l'acquisto di un prodotto online. Infatti, gli utenti hanno tre giorni per pagare prima che il riscatto venga raddoppiato e sette giorni per pagare prima che i file non siano più recuperabili.
Avast
È interessante notare che l'attacco è stato rallentato o potenzialmente fermato da un "eroe accidentale" semplicemente registrando un dominio web codificato nel codice del ransomware. Se quel dominio rispondesse a una richiesta del malware, smetterebbe di infettare i nuovi sistemi, agendo come una sorta di “kill switch” che i criminali informatici potrebbero utilizzare per bloccare l’attacco.
COME Lo sottolinea il Guardian, un ricercatore, noto solo come MalwareTech, ha registrato il dominio per $ 10,69 e non era a conoscenza del kill switch al momento del kill switch, affermando: "Ero fuori pranzando con un amico e tornando verso le 15:00. e ho visto un afflusso di articoli di notizie sul servizio sanitario nazionale e su varie organizzazioni del Regno Unito colpo. Ho dato un'occhiata più da vicino e poi ho trovato un campione del malware dietro di esso e ho visto che si collegava a un dominio specifico, che non era registrato. Quindi l’ho preso in mano senza sapere cosa facesse in quel momento”.
MalwareTech ha registrato il dominio per conto della sua azienda, che tiene traccia delle botnet, e inizialmente è stata accusata di aver avviato l'attacco. “Inizialmente qualcuno aveva segnalato erroneamente che noi avevamo causato l’infezione registrando il dominio, quindi l’ho fatto un mini maniaco finché non ho capito che in realtà era il contrario e l'avevamo fermato", ha detto MalwareTech a The Custode.
Tuttavia, questa probabilmente non rappresenterà la fine dell’attacco, poiché gli aggressori potrebbero essere in grado di alterare il codice per omettere il kill switch. L'unica vera soluzione è assicurarsi che le macchine siano completamente dotate di patch e che eseguano il giusto software di protezione malware. Anche se gli obiettivi di questo particolare attacco sono le macchine Windows, MacOS ha dimostrato la propria vulnerabilità e quindi anche gli utenti del sistema operativo Apple dovrebbero assicurarsi di adottare le misure appropriate.
Una notizia molto più brillante è che ora sembra che esista un nuovo strumento in grado di determinare la chiave di crittografia utilizzata dal ransomware su alcune macchine per consentire agli utenti di recuperare i propri dati. Il nuovo strumento, chiamato Wanakiwi, è simile a un altro strumento, Voglio chiave, ma offre un'interfaccia più semplice e può potenzialmente riparare i computer che eseguono più versioni di Windows. COME Lo riferisce Ars Technica, Wanakiwi utilizza alcuni trucchi per recuperare i numeri primi utilizzati nella creazione della chiave di crittografia, sostanzialmente estraendo quei numeri da RAM se la macchina infetta rimane accesa e i dati non sono già stati sovrascritti. Wanawiki sfrutta alcune "carenze" nell'interfaccia di programmazione dell'applicazione Microsoft Cryptographic utilizzata da WannaCry e varie altre applicazioni per creare chiavi di crittografia.
Secondo Benjamin Delpy, che ha contribuito a sviluppare Wanakiwi, lo strumento è stato testato su una serie di macchine con dischi rigidi crittografati ed è riuscito a decrittografarne molte. Windows Server 2003 e Windows 7 erano tra le versioni testate e Delpy presume che Wanakiwi funzionerà anche con altre versioni. Come dice Delpy, gli utenti possono “scaricare semplicemente Wanakiwi e, se la chiave può essere ricostruita, la estrae, la ricostruisce (una buona chiave) e avvia la decrittazione di tutti i file sul disco. In più, la chiave che ottengo può essere utilizzata con il decrittatore di malware per fargli decrittografare i file come se avessi pagato."
Lo svantaggio è che né Wanakiwi né Wannakey funzionano se il PC infetto è stato riavviato o se lo spazio di memoria contenente i numeri primi è già stato sovrascritto. Quindi è sicuramente uno strumento che dovrebbe essere scaricato e tenuto a portata di mano. Per una maggiore tranquillità, va notato che la società di sicurezza Comae Technologies ha collaborato allo sviluppo e al test di Wanakiwi e può verificarne l’efficacia.
Puoi scarica Wanakiwi qui. Basta decomprimere l'applicazione ed eseguirla, e tieni presente che Windows 10 si lamenterà del fatto che l'applicazione è un programma sconosciuto e dovrai premere "Ulteriori informazioni" per consentirne l'esecuzione.
Mark Coppock/Tendenze digitali
Il ransomware è uno dei peggiori tipi di malware, in quanto attacca le nostre informazioni e le blocca dietro una crittografia avanzata a meno che non paghiamo denaro all'aggressore in cambio di una chiave per sbloccarle. C'è qualcosa di personale nel ransomware che lo rende diverso dagli attacchi malware casuali che trasformano i nostri PC in bot senza volto.
Il modo migliore per proteggersi da WCry è assicurarsi che il tuo PC Windows sia completamente aggiornato con gli aggiornamenti più recenti. Se hai seguito il programma del Patch Tuesday di Microsoft e hai eseguito almeno Windows Defender, le tue macchine dovrebbero già esserlo protetto, anche se avere un backup offline dei file più importanti che non possono essere toccati da un simile attacco è un passo importante per Prendere. Andando avanti, saranno le migliaia di macchine a cui non sono ancora state installate le patch che continueranno a soffrire di questo particolare attacco diffuso.
Aggiornato il 19/05/2017 da Mark Coppock: Aggiunte informazioni sullo strumento Wanakiwi.
Raccomandazioni degli editori
- Gli attacchi ransomware hanno registrato un’impennata massiccia. Ecco come stare al sicuro
- Gli hacker stanno facendo punti con il ransomware che attacca le sue precedenti vittime
