Attacco Hacker globale – Come difendersi da WCry, WannaCry e WanaCrypt0r
Attacco Hacker a livello globale – Ecco come si propaga e come difendersi dai ransomware WCry, WannaCry e WanaCrypt0r
Spesso ho trattato come difendersi e riconoscere attacchi ransomware e CTB locker ma stavolta ci troviamo difronte ad un attacco Hacker senza precedenti ed a livello globale. In questo post cercheremo di capire cos’è il ransomware WannaCry, come fuonziona, come si propaga e come difendersi da un attacco.
Cosa è WannaCry
WannaCry, chiamato anche WanaCrypt0r 2.0, è un virus informatico responsabile degli attacchi informatici su larga scala che stanno interessando tutto il mondo. Il virus, di tipologia ransomware, cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari/euro per decrittarli.
Qualche giorno fa il malware WannaCry ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell’interno russo, l’Università degli Studi di Milano-Bicocca (foto in basso).
Fino ad ora sono stati colpiti più di duecentomila computer in almeno 99 paesi, rendendolo uno dei maggiori attacchi informatici mai avvenuti.
In relazione alla notizia dell’attacco hacker a livello globale compiuto attraverso un ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r e rilevato a partire dal febbraio scorso, la Polizia Postale e delle Comunicazioni e in particolar modo il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche – Cnaipic, sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle infrastrutture informatiche del Paese.
Dalla serata di venerdì 12 maggio la Sala Operativa del Cnaipic è in costante contatto con i referenti tecnici delle infrastrutture critiche informatizzate e, tramite il Nucleo Sicurezza cibernetica, con i componenti dell’Architettura di difesa Cyber nazionale.
Costante il rapporto con gli organismi di cooperazione internazionale ed in particolare con il centro EC3 di Europol.
Diramati dal Cnaipic diversi alert di sicurezza con gli indicatori di compromissione relativi all’attacco hacker, utili per l’innalzamento del livello di sicurezza dei sistemi informatici
Dai primi accertamenti effettuati e dalle risultanze raccolte ad oggi, sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le infrastrutture informatiche del Paese.
Un post apparso sulla newsfeed del profilo twitter di @dodicin con le immagini di computers dell’Università Bicocca di Milano colpiti da ransomware WannaCry
Come funziona WannaCry
WannaCry sfrutta un exploit chiamato EternalBlue e sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.
Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete. Quando infetta un computer, WannaCry cripta i file bloccandone l’accesso e aggiunge l’estensione .WCRY; impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l’utente deve pagare in bitcoin per avere lo sblocco dei file.
EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)”. Tuttavia molti computer non sono mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò vulnerabili al virus.
Come si propaga l’infezione dei ransomware WCry, WannaCry e WanaCrypt0r
Le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).
Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.
Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
La seconda provvede a propagare il malware sulla eventuale Lan presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via Smb porta 445.
Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.
Come difendersi da WCry, WannaCry e WanaCrypt0r
Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di: Lato client/server
– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017
– aggiornare il software antivirus
– disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block (Smb) e Remote Desktop Protocol (Rdp)
– i ransomware WCry, WannaCry e WanaCrypt0r si propagano anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette
– il ransomware attacca sia share di rete che backup su cloud quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (Ips/Ids)
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (Smb) e Remote Desktop Protocol (Rdp)
Specifiche tecniche dei ransomware WCry, WannaCry e WanaCrypt0r
Vector: All Windows versions before Windows 10 are vulnerable if not patched for MS-17-010. It uses EternalBlue MS17-010 to propagate.
Ransom: between $300 to $600. There is code to ‘rm’ (delete) files in the virus. Seems to reset if the virus crashes.
Backdooring: The worm loops through every RDP session on a system to run the ransomware as that user. It also installs the DOUBLEPULSAR backdoor. It corrupts shadow volumes to make recovery harder. (source: malwarebytes)
Kill switch: If the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com is up the virus exits instead of infecting the host. (source: malwarebytes). This domain has been sinkholed, stopping the spread of the worm. Will not work if proxied (source).
Cryptography details
Each infection generates a new RSA-2048 keypair.
The public key is exported as blob and saved to 00000000.pky
The private key is encrypted with the ransomware public key and saved as 00000000.eky
Each file is encrypted using AES-128-ECB, with a unique AES key per file.
Each AES key is generated CryptGenRandom.
The AES key is encrypted using the infection specific RSA keypair.
The RSA public key used to encrypt the infection specific RSA private key is embedded inside the DLL and owned by the ransomware authors.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui