WannaCry

WannaCry è stato attivo tra le 7:00 e le 16:08 del 12 maggio 2017. In pochissime ore ha infettato più di 230.000 dispositivi in circa 150 Paesi, compresi i sistemi di organizzazioni importanti come il Servizio Sanitario Nazionale britannico (NHS), l'Università degli Studi di Milano-Bicocca e molti enti finanziari.

Grazie al suo funzionamento come un cryptoworm, ovvero un ransomware con la capacità di replicarsi automaticamente attraverso le reti, poteva propagarsi senza l'intervento delle vittime, scansionando le porte SMB aperte e attaccando dispositivi privi della patch di sicurezza.

Vediamo come si è svolto l’attacco ransomware WannaCry, uno dei più diffusi e dannosi della storia:

14 marzo 2017: Microsoft pubblica la patch di sicurezza MS17-010 che corregge la vulnerabilità EternalBlue.

12 maggio 2017: ha inizio l'attacco su scala mondiale. WannaCry inizia a criptare i file e a richiedere 300 dollari di riscatto in Bitcoin.

Poche ore dopo: il ricercatore Marcus Hutchins scopre che nel codice di WannaCry è nascosto un dominio web: se il virus riesce a connettersi a quel sito, smette di diffondersi. Così, Hutchins registra il dominio, attivando di fatto una specie di interruttore di emergenza (in gergo chiamato kill switch), che blocca la propagazione del ransomware in tutto il mondo.

Le patch vengono distribuite: le organizzazioni e gli utenti aggiornano i loro sistemi, e Microsoft rilascia aggiornamenti anche per versioni obsolete come Windows XP.

Emergono nuove varianti: dopo la scoperta del meccanismo di disattivazione, emergono nuove versioni senza questa funzione, ma con un raggio di attacco inferiore e più facili da contrastare.

WannaCry ha colpito ambienti medici, industriali e aziendali, causando interruzioni di servizi critici e della produzione industriale e ingenti danni economici. Si stima che abbia infettato tra 141.000 e 230.000 computer in oltre 150 Paesi, provocando perdite di milioni di euro.

Tra gli obiettivi più famosi ci sono stati gli ospedali del sistema pubblico inglese (con circa 70.000 dispositivi colpiti), gli stabilimenti di Nissan e Renault, e grandi aziende del campo energetico e delle telecomunicazioni.

Ecco le caratteristiche principali che rendevano WannaCry una delle minacce informatiche più temibili di tutti i tempi:

• Autopropagazione: sfruttando la vulnerabilità EternalBlue nei sistemi Windows non aggiornati, scansionava automaticamente altri dispositivi accessibili dalla rete. In questo modo, riusciva a muoversi e moltiplicarsi molto velocemente e senza alcuna interazione da parte delle vittime.
• Patch ignorate: la maggior parte dei dispositivi non aveva installato l’aggiornamento di sicurezza MS17-010. Questo fattore è decisivo nella diffusione e sfruttamento delle vulnerabilità.
• Meccanismo di sicurezza trovato per casualità: Hutchins registrò il dominio che fungeva da "pulsante di spegnimento", fermando temporaneamente la propagazione. Se non fosse stato per lui, l'epidemia si sarebbe estesa a macchia d'olio e i danni sarebbero stati incalcolabili.

Nel complesso, la combinazione di attacco ransomware su larga scala, codice ben strutturato per propagarsi come un worm ed exploit di una vulnerabilità di Windows facevano di WannaCry uno dei malware più letali e virulenti della storia della sicurezza informatica.

Panda Security consiglia di:

• Aggiornare regolarmente il sistema operativo per applicare le patch di sicurezza critiche non appena vengono rilasciate.
  
• Installare una soluzione di sicurezza avanzata come la gamma Panda Dome, che offre rilevamento in tempo reale, monitoraggio degli exploit e protezione antiransomware.
  
• Adottare un sistema di gestione delle vulnerabilità e creare copie di backup frequenti.
  
• Attivare il firewall e limitare l'accesso alla porta 445 sulle reti.
  
• Organizzare corsi di formazione per aiutare gli utenti a prendere buone abitudini di sicurezza informatica.