http://punto-informatico.it/

lunedì 15 maggio 2017

 

WannaCry, ransomware da prima pagina

di Alfonso Maruccia

 

Fine settimana di passione sul fronte della sicurezza informatica, con un ransomware piuttosto anonimo impegnato a generare il panico sui PC di tutto il mondo - e soprattutto sui media. Pericolosa la minaccia, scarsi i guadagni

 

Venerdì scorso è stato il giorno di WannaCry, minaccia informatica non esattamente nuovissima né particolarmente sofisticata che ha però monopolizzato la cronaca (specializzata e non) a causa di una virulenza senza precedenti. Le infezioni si contano in centinaia di migliaia ma i risultati economici dell'operazione criminale sembrano essere piuttosto scarsi. Almeno finora.

 

Anche noto come WCry, Wana Decrypt0r, WannaCrypt o WanaCrypt0r, WannaCry è un malware composto da due diversi componenti: il primo è un ransomware dal comportamento classico che cifra i file e chiede un riscatto in Bitcoin, mentre il secondo è un ben più problematico payload progettato per diffondere l'infezione sfruttando una grave vulnerabilità nel componente Server Message Block (SMB) dei sistemi Windows.

La vulnerabilità è già stata corretta da Microsoft con il martedì di patch di marzo (MS17-010), ma ciò non ha impedito ai cyber-criminali di collezionare oltre 223.000 sistemi infetti solo nel corso del weekend. Il baco nell'SMB è uno degli exploit usati dalla NSA e resi pubblici dai recenti leak del gruppo The Shadow Brokers, e favorisce il veloce propagarsi dell'infezione grazie alla scansione dei sistemi vulnerabili (con porta 445 aperta) presenti in rete.

 

Il gran numero di "vittime" sparse in giro per il mondo - con una situazione particolarmente grave per il settore della salute nel Regno Unito - e la mancata possibilità di decriptare i file presi in ostaggio senza pagare i cyber-criminali hanno reso WannaCry una vera e propria "star" dei giornalisti poco attenti ai dettagli, ma a parte questo la nuova minaccia non risulta essere particolarmente complessa dal punto di vista tecnico.

Il nuovo ransomware è infatti la versione "2.0" di un codice malevolo già attivo da qualche mese (WCry), sembra essere stato programmato in fretta da cyber-criminali poco esperti e ha fin qui raccolto "riscatti" per appena 31.000 dollari nonostante l'alto numero di infezioni. Un ricercatore noto come MalwareTech ha poi scoperto un "kill-switch" presente all'interno del codice, registrando il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com e bloccando la diffusione dell'infezione.

Ma la storia di WannaCry non finisce qui, visto che una nuova variante che fa a meno del suddetto nome di dominio sarebbe già in circolazione e l'inizio della settimana lavorativa potrebbe far crescere in maniera significativa sia i PC colpiti che i pagamenti in Bitcoin. Al ransomware famoso va certamente assegnato un primato, vale a dire la trasformazione in arma di cyber-offesa di un pericoloso exploit (ETERNALBLUE) precedentemente a disposizione solo dell'intelligence statunitense.

Alfonso Maruccia