Attacco Hacker globale – Come difendersi da WCry, WannaCry e WanaCrypt0r

15 Maggio 2017

Attacco Hacker a livello globale – Ecco come si propaga e come difendersi dai ransomware WCry, WannaCry e WanaCrypt0r

Spesso ho trattato come difendersi e riconoscere attacchi ransomware e CTB locker ma stavolta ci troviamo difronte ad un attacco Hacker senza precedenti ed a livello globale. In questo post cercheremo di capire cos’è il ransomware WannaCry, come fuonziona, come si propaga e come difendersi da un attacco.

Cosa è WannaCry

WannaCry, chiamato anche WanaCrypt0r 2.0, è un virus informatico responsabile degli attacchi informatici su larga scala che stanno interessando tutto il mondo. Il virus, di tipologia ransomware, cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari/euro per decrittarli.

Qualche giorno fa il malware WannaCry ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell’interno russo, l’Università degli Studi di Milano-Bicocca (foto in basso).

Fino ad ora sono stati colpiti più di duecentomila computer in almeno 99 paesi, rendendolo uno dei maggiori attacchi informatici mai avvenuti.

In relazione alla notizia dell’attacco hacker a livello globale compiuto attraverso un ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r e rilevato a partire dal febbraio scorso, la Polizia Postale e delle Comunicazioni e in particolar modo il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche – Cnaipic, sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle infrastrutture informatiche del Paese.

Dalla serata di venerdì 12 maggio la Sala Operativa del Cnaipic è in costante contatto con i referenti tecnici delle infrastrutture critiche informatizzate e, tramite il Nucleo Sicurezza cibernetica, con i componenti dell’Architettura di difesa Cyber nazionale.

Costante il rapporto con gli organismi di cooperazione internazionale ed in particolare con il centro EC3 di Europol.

Diramati dal Cnaipic diversi alert di sicurezza con gli indicatori di compromissione relativi all’attacco hacker, utili per l’innalzamento del livello di sicurezza dei sistemi informatici
Dai primi accertamenti effettuati e dalle risultanze raccolte ad oggi, sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le infrastrutture informatiche del Paese.

WCry, WannaCry, WanaCrypt0r, attacco hacker, ransomware,

Un post apparso sulla newsfeed del profilo twitter di @dodicin con le immagini di computers dell’Università Bicocca di Milano colpiti da ransomware WannaCry

Come funziona WannaCry

WannaCry sfrutta un exploit chiamato EternalBlue e sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.

Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete. Quando infetta un computer, WannaCry cripta i file bloccandone l’accesso e aggiunge l’estensione .WCRY; impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l’utente deve pagare in bitcoin per avere lo sblocco dei file.

EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)”. Tuttavia molti computer non sono mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò vulnerabili al virus.

Come si propaga l’infezione dei ransomware WCry, WannaCry e WanaCrypt0r

Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).
Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.
Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
La seconda provvede a propagare il malware sulla eventuale Lan presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via Smb porta 445.
Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.

Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Come difendersi da WCry, WannaCry e WanaCrypt0r

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:
Lato client/server
– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017
– aggiornare il software antivirus
– disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (Smb) e Remote Desktop Protocol (Rdp)
– i ransomware WCry, WannaCry e WanaCrypt0r si propagano anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette
– il ransomware attacca sia share di rete che backup su cloud quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati
Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (Ips/Ids)
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (Smb) e Remote Desktop Protocol (Rdp)

Specifiche tecniche dei ransomware WCry, WannaCry e WanaCrypt0r

WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm

Virus Name: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
Vector: All Windows versions before Windows 10 are vulnerable if not patched for MS-17-010. It uses EternalBlue MS17-010 to propagate.
Ransom: between $300 to $600. There is code to ‘rm’ (delete) files in the virus. Seems to reset if the virus crashes.
Backdooring: The worm loops through every RDP session on a system to run the ransomware as that user. It also installs the DOUBLEPULSAR backdoor. It corrupts shadow volumes to make recovery harder. (source: malwarebytes)
Kill switch: If the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com is up the virus exits instead of infecting the host. (source: malwarebytes). This domain has been sinkholed, stopping the spread of the worm. Will not work if proxied (source).

Cryptography details

Each infection generates a new RSA-2048 keypair.
The public key is exported as blob and saved to 00000000.pky
The private key is encrypted with the ransomware public key and saved as 00000000.eky
Each file is encrypted using AES-128-ECB, with a unique AES key per file.
Each AES key is generated CryptGenRandom.
The AES key is encrypted using the infection specific RSA keypair.

The RSA public key used to encrypt the infection specific RSA private key is embedded inside the DLL and owned by the ransomware authors.

https://haxx.in/key1.bin (the ransomware pubkey, used to encrypt the users private key)
https://haxx.in/key2.bin (the dll decryption privkey) the CryptImportKey() rsa key blob dumped from the DLL by blasty.

https://pastebin.com/aaW2Rfb6 even more in depth RE information by cyg_x1!!

Bitcoin ransom addresses

3 addresses hard coded into the malware.

C&C centers

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion

Encrypted file format

typedef struct _wc_file_t {
char sig[WC_SIG_LEN] // 64 bit signature WANACRY!
uint32_t keylen; // length of encrypted key
uint8_t key[WC_ENCKEY_LEN] ; // AES key encrypted with RSA
uint32_t unknown; // usually 3 or 4, unknown
uint64_t datalen; // length of file before encryption, obtained from GetFileSizeEx
uint8_t *data; // Ciphertext Encrypted data using AES-128 in CBC mode
} wc_file_t;

SHA256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-1
45356a9dd616ed7161a3b9192e2f318d0ab5ad10
51e4307093f8ca8854359c0ac882ddca427a813c
87420a2791d18dad3f18be436045280a4cc16fc4
bd44d0ab543bf814d93b719c24e90d8dd7111234
e889544aff85ffaf8b0d0da705105dee7c97fe26
5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
MD5
4fef5e34143e646dbf9907c4374276f5
509c41ec97bb81b0567b059aa2f50fe8
5bef35496fcbdbe841c82f4d1ab8b7c2
775a0631fb8229b2aa3d7621427085ad
7bf2b57f2a205768755c07f238fb32cc
7f7ccaa16fb15eb1c7399d422f8363e8
8495400f199ac77853c53b5a3f278f3e
84c82835a5d21bbcf75a61706d8ab549
86721e64ffbd69aa6944b9672bcabb6d
8dd63adb68ef053e044a5a2f46e0d2cd
b0ad5902366f860f85b892867e5b1e87
d6114ba5f10ad67a4131ab72531f02da
db349b97c37d22f5ea1d1841e3c89eb4
e372d07207b4da75b3434584cd9f3450
f107a717f76f4f910ae9cb4dc5290594
f529f4556a5126bba499c26d67892240
3175e4ba26e1e75e52935009a526002c
775a0631fb8229b2aa3d7621427085ad
b675498639429b85af9d70be1e8a8782
638f9235d038a0001d5ea7f5c5dc4ae
31dab68b11824153b4c975399df0354f

Domains WCry, WannaCry e WanaCrypt0r

57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
gx7ekbenv2riucmf.onion
sqjolphimrr7jqw6.onion
xxlvbrloxvriy2c5.onion
rphjmrpwmfv6v2e.onion

FilePath WCry, WannaCry e WanaCrypt0r

C:\Windows\mssecsvc.exe
C:\WINDOWS\tasksche.exe

Hostname WCry, WannaCry e WanaCrypt0r

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Filename:
@WanaDecryptor@.exe
_WanaDecryptor_.exe
c.wnry
tasksche.exe
176641494574290.bat
m_English.wnry
File Created:
%tempt%\m.vbs
%tempt%\b.wrny
%tempt%\c.wrny
taskse.exe
taskdl.exe
@Please_Read_Me@.txt
@WanaDecryptor@.exe
File extension:
wncry
Registry keys:
HKEY_CURRENT_USER\Software\WanaCrypt0r
HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
sender’s email:
alertatnb[at] serviciobancomer.com
email subject:
Transferencia Banca en Linea
URL within the email body:
www.rentasyventas[.] com/incluir/rk/imagenes.html?retencion=081525418
IPs:
197.231.221.211:9001
128.31.0.39:9191
149.202.160.69:9001
46.101.166.19.9090
91.121.65.179.9001
188.166.23.127:443
193.23.244.244:443
2.3.69.209:9001
146.0.32.144:9001
50.7.161.218:9001
176.14.199.174
154.35.175.225
171.25.193.78
178.162.194.210
192.99.212.139
195.154.165.112
91.219.236.222
BTCs:
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY