Sicuramente in questi giorni ne avrai sentito parlare, ci riferiamo a Wannacry (WanaCrypt0r 2.0), l’ultimo Ransomware che in breve tempo ha infettato migliaia di sistemi.
Giornali e telegiornali di tutto il mondo, hanno dato notizia di questo nuovo virus:
“Cyberattacco: colpiti 100 mila sistemi in 150 Paesi” (fonte ansa.it)
Teléfonica, l’operatore di rete spagnolo (85% di tutto il parco macchine sarebbe stato preso in ostaggio) ,16 ospedali del Regno Unito (gli ospedali sono costretti a dirottare le ambulanze presso strutture non infettate), dalle ferrovie tedesche alla Renault che ha fermato gli stabilimenti in Francia, all’Università di Milano Bicocca. In poche ore il virus si è diffuso in 11 paesi, inclusi Russia, Turchia, Germania, Vietnam e Filippine.
WanaCrypt0r 2.0 / WannaCry l’ennesimo Ransomware
WanaCrypt0r 2.0, chiamato anche WannaCry, è l’ennesimo Ransomware (riconducibile alla famiglia dei cryptolocker virus) che dopo aver infettato il computer ne chiede il riscatto. Prende in ostaggio il computer del malcapitato e sfruttando delle vulnerabilità dei sistemi operativi (in questo caso Microsoft Windows) si propaga rapidamente in tutta la rete locale.
Ecco il nostro parere sui fatti.
Cosa è successo?
Anche in Italia e anche nei nostri computer potrebbero essere arrivate delle mail infette da questo virus. Sono state molte le segnalazioni e alcuni purtroppo sono caduti nella trappola.
Email di account iCloud bloccati, false bollette telefoniche, conti correnti bloccati, cartelle esattoriali, sono solo alcuni degli esempi di fake email (email false) che possono contenere script, link o eseguibili contenenti ransomware che possono prendere in ostaggio i nostri computer e tutti i dispositivi nella nostra rete. Modalità molto simili a quanto già accaduto in passato: ricordiamo il caso di CTB-Locker (vai all’articolo).
Cosa c’è stato di diverso questa volta
Questa volta le mail infette sono state inviate massicciamente a tantissime autorità e uffici pubblici in tutto il mondo, tradotte in oltre 28 lingue. Il virus della categoria dei ramsonware ha sfruttato una vulnerabilità di Windows nota e patchata da marzo 2017 (MS17-010) e correlato di un worms che gli ha permesso di propagarsi rapidamente in tutti i computer della rete locale (variante studiata e trafugata sembrerebbe dalla NSA statunitense).
Come è stato bloccato
Un ragazzo 22enne, appassionato di sicurezza e virus si è accorto che aprendo l’allegato arrivato tramite la “fake email” il computer veniva infettato dopo aver controllato un sito internet che risultava non registrato. Mosso dalla curiosità ha acquistato il dominio con 10$ bloccando di fatto la diffusione del virus! Alla luce dei fatti, probabilmente questo meccanismo rappresentava una sorta di kill switch, inserito dagli stessi ideatori del virus per interromperne la diffusione.
Un applauso a chi si nasconde dietro il nickname Twitter MalwareTech per l’ottima intuizione.
Questo ha consentito di bloccare la diffusione di Wannacry, ma ovviamente per i computer già contagiati non è stato possibile porre rimedio. Una volta infettato il pc del malcapitato infatti, questa tipologia di malware procede a criptare i dati, attraverso una complessa chiave di codifica, rendendo di fatto impossibile decriptare i file. Ne avevamo già parlato diffusamente all’epoca di CTB-Locker (vedi l’articolo). In alcuni casi come con Teslacrypt, alcuni ricercatori erano riusciti a recuperare la chiave di decodifica, ma si tratta di casi molto rari.
Aggiornare il sistema non basta
Sì, ovviamente è importante tenere il sistema operativo aggiornato, anche se a volte, abbiamo criticato il numero eccessivo di aggiornamenti che in alcuni casi creano problemi all’utente. Ma la sicurezza è più importante, sia che abbiamo un sistema operativo più datato come Windows 7 o il più recente Windows 10. Sicuramente è buona regola tenere aggiornato il sistema operativo, ma non basta!
Come proteggersi
Installare un buon antivirus può essere utile (PippoCD Blog consiglia Avast!), ma ovviamente non è tutto, anzi probabilmente quando ci si trova di fronte ad un attacco così massiccio l’antivirus è inoffensivo e probabilmente si aggiorna in ritardo, rispetto alla velocità di propagazione. In casi come questo probabilmente non riuscirebbe comunque a difendere i vostri dati.
Cosa fare quindi? Secondo noi la risposta è semplice: nei casi di virus o ransomware come Wannacry, che si diffondono tramite social engineering e sfruttano bug di sistema, solo due cose possono proteggerti: formazione e cultura sociale e/o tecnologia specifica.
Cultura o tecnologia
Con formazione e coltura sociale, intendiamo essere consapevoli di cosa facciamo, in modo da riconoscere tecnicamente i falsi mittenti delle mail e/o in caso di dubbio informarsi alla fonte prima di aprire email sospette e soprattutto allegati dubbi.
Con la tecnologia specifica ci riferiamo invece a strumenti per effettuare il backup automaticamente e soprattutto affidabili, quali ad esempio un NAS come quelli che abbiamo recensito (vedi il NAS Synology) nei quali vengono applicate tutte le conoscenze e gli aggiornamenti relativi di una società che studia e tiene aggiornati i propri prodotti. Al riguardo ti segnaliamo questa pagina sul sito Synology, in cui ci sono ottimi consigli su come proteggersi dai ransomware.
Il nostro consiglio ad ognuno è di farsi un piccolo esame di coscienza: tenersi aggiornati, informarsi e prestare il massimo delle attenzioni oppure investire in sicurezza, soprattutto in ambito aziendale e business. Siamo certi che un investimento in termini di sistemi di sicurezza dei dati e backup, ha sicuramente un costo inferiore rispetto a quelli a cui bisognerebbe far fronte in caso di una infezione profonda, per recuperare i dati o peggio nel caso siano irrecuperabili.
Chiudiamo l’articolo con questa citazione:
“Non è finita, capiranno presto come sono stati fermati, cambieranno il codice e ricominceranno” (MalwareTech)
Sono fermamente convinto che fosse un’azione dimostrativa e niente di più.
Analizziamo alcuni fatti:
– hanno guadagnato poco, rispetto ad altri ransomware;
– hanno sfruttato una falla di sistema già nota ben sapendo che non avrebbero colpito win10 e win8.1 (l’utente medio non ha la più pallida idea di come disattivare gli aggiornamenti automatici in queste due versioni, siamo sinceri);
– si sono ritrovati con la possibilità di agire in “ring 0” e si sono limitati a “fare il ransomware”, oltretutto prendendoci poco.
C’è qualcosa di molto molto grande che non quadra.
Per quanto possiamo, ci uniamo allo stupore o forse all’indignazione… quando trattammo l’argomento CTB-locker sembrava quasi che nessuno si fosse accorto del problema, eppure la diffusione a livello locale era molto molto alta… in questo caso è stato l’inverso. Nessun caso tangibile di infezione è stato da noi rilevato, anche se qualche tentativo fallito ci è stato segnalato, vuoi per la maggiore sensibilità delle persone o forse per la fortuna di avere i sistemi aggiornati (anche inconsapevolmente magari 😉 . Forse erano solo le prove generali, o forse invece di attaccare milioni di computer chiedendo centinaia di euro, hanno attaccatto… Continua...