Un trojan di crittografia chiamato “WannaCry” imperversa dal 12 marzo 2017 e sta attaccando i sistemi Windows in tutto il mondo, comprese le infrastrutture critiche, anche se in modo piuttosto casuale. Il fatto che il saccheggio del tesoro digitale della NSA stia avendo un tale impatto a livello mondiale è davvero spaventoso, soprattutto perché Microsoft ha rilasciato una patch per i suoi sistemi operativi subito dopo che è stato reso noto, abbastanza a lungo prima di questa ondata di attacchi. L’articolo che segue è una rassegna di WannaCry, del suo impatto e delle opzioni di protezione.
Indice dei contenuti
Quali sono le cause? Cause della diffusione di WannaCry
All’inizio del 2017, il gruppo di hacker Shadow Brookers ha fatto irruzione nel tesoro digitale dell’NSA e ha pubblicato gli exploit del team Equation Group dell’NSA. Tra questi c’era una vulnerabilità nelle condivisioni di file SMB di Windows, che Microsoft ha corretto subito dopo averla resa nota con MS17-010 (KB 4013389). È qui che inizia la tragedia, poiché Microsoft si è limitata a passare sopra a sistemi fuori produzione come Windows XP o Windows Server 2003, sebbene questi stessi sistemi siano ancora utilizzati nelle aziende e nella pubblica amministrazione.
Il resto è stato quindi solo riciclo di vecchi moduli di cripto-trojan con adattamento alla nuova vulnerabilità e “WannaCry” era pronto, che è anche conosciuto come Wana Decrypt0r 2.0 e si sta diffondendo in tutto il mondo dal 12 maggio 2017. Gli attacchi vengono condotti in modo classico tramite e-mail e si diffondono anche all’interno di reti infette.
Il Trojan cripta i file trovati e li prende in ostaggio. I dati dovrebbero essere nuovamente rilasciati dietro pagamento di 300 dollari USA tramite metodi di pagamento come Bitcon. Securelist ha documentato l’infezione e le modalità di funzionamento di WannaCry in un post sul blog.
Infestazione mondiale
I ricattatori devono essere più che sorpresi del loro successo. I sistemi di tutto il mondo sono stati colpiti, non solo da utenti privati, e l’attenzione è chiaramente rivolta alla Russia.
In Germania, la vittima più importante è stata Deutsche Bahn, i cui tabelloni non solo mostravano ritardi, ma anche la schermata di estorsione di WannaCry.
Il fatto che la diffusione – nonostante la patch di Microsoft – sia stata così rapida in tutto il mondo è dovuto a due fattori: da un lato, la disattenzione di molti amministratori nel distribuire le patch e, dall’altro, la decisione di Microsoft di lasciare per il momento senza patch i vecchi sistemi ancora molto diffusi come Windows XP.
La marcia indietro di Microsoft
Mentre in Germania l’Ufficio federale di polizia criminale ha già avviato le indagini e l’Ufficio federale per la sicurezza informatica (BSI) ha messo in guardia dal ransomware, un utente di Twitter è riuscito a trovare un “interruttore di emergenza” nel codice del trojan e a bloccarne così l’ulteriore diffusione. Ha documentato l’esatta scoperta in un post sul blog.
Microsoft, da parte sua, sta cercando di limitare i danni e, a causa della diffusione a livello mondiale, è costretta a prendere provvedimenti per fornire una patch anche per i sistemi che sono già stati cancellati, come Windows XP o Server 2003.
Attribuire la colpa?
Nel frattempo, Microsoft è passata all’offensiva, incolpando in particolare il governo statunitense di aver nascosto le vulnerabilità di sicurezza note e di averle poi rubate. Il responsabile legale di Microsoft ha persino descritto lo scenario come se l’esercito statunitense avesse subito il furto di alcuni dei suoi missili da crociera “Tomahawk”.
Un’analisi forse mostrerà in seguito esattamente quali sistemi (sistemi operativi) sono stati colpiti. Il sospetto è che siano stati colpiti soprattutto i vecchi sistemi XP. Se Microsoft possa sottrarsi alle proprie responsabilità, visto che il supporto per questi sistemi è stato interrotto già nel 2014, rimane non solo una questione etica.
Almeno gli utenti di Windows 10 dovrebbero essere contenti: il requisito dell’aggiornamento automatico, spesso criticato, ha impedito che si verificasse di peggio su questi sistemi e quindi fa il gioco di Redmond con le sue argomentazioni a favore degli aggiornamenti automatici.
Protezione contro attacchi simili
L’attuale pandemia di ransomware, che cripta i vostri file come documenti, immagini o video e può rilasciarli nuovamente solo dietro pagamento di un riscatto, è minacciosa. E i consigli su come rimediare alla situazione, se si è colpiti in prima persona, sono costosi. A meno che non si disponga di un backup adeguato.
Nel nostro articolo “Strategie per proteggersi da Trojan come Locky: il backup giusto!” del 2016, abbiamo già descritto le strategie per un backup corretto, ma anche le insidie di tale backup, che sono ancora attuali.