Wannacry, il virus informatico che ha colpito il 12 maggio 2017
WannaCry, chiamato anche WanaCrypt0r 2.0, è un virus informatico responsabile di un’epidemia su larga scala avvenuto dal 12 maggio 2017. Il malware, di tipologia Ransomware, cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari per decriptarli. Nel complesso oltre 200.000 PC in 100 nazioni sono stati infettati.
I ransomware non sono dei virus ma una particolare tipologia di “software malevolo”, cioè di malware, che non fa altro che restringere l’accesso al computer infetto costringendo poi a pagare una certa somma di denaro ai creatori del malware in questione. Alcuni di questi ransomware, oltre a bloccare il computer di turno, criptano anche i file che si trovano al suo interno, rendendoli pertanto inaccessibili.
Come ci si infetta con questi ransomware?
Solitamente, per contrarre uno di questi ransomware, basta soltanto navigare su determinati siti web, ovvero tramite e-mail o pendrive all’interno dei quali è possibile trovare degli appropriati codici malevoli, chiamati in gergo exploit, in grado di insediarsi sul computer del momento sfruttando, semplicemente, eventuali falle di sicurezza del proprio browser preferito, o comunque di altri programmi molto utilizzati sul PC riuscendo ad ottenere dei privilegi amministrativi, e pertanto, ad avere il totale controllo di quel particolare sistema. Un exploit è un termine usato in informatica per identificare una tipologia di script, virus, worm o binario che, sfruttando una specifica Vulnerabilità presente in un sistema informatico, permette l’esecuzione di codice malevolo su di esso con lo scopo di far ottenere all’attaccante l’acquisizione dei privilegi amministrativi. Ricordiamo, infatti, la Vulnerabilità Intrinseca dei Software. Un sistema operativo, così come i software applicativi quali il browser Web, lettore di PDF, lettore multimediale, plug-in, prevedono architetture complesse implementate in milioni di righe di codice. È dunque inevitabile che tale codice contenga errori che possono originare vulnerabilità che se scoperte e usate da utenti malintenzionati possono essere sfruttate mediante exploit o altro malware.
Il file contenente l’exploit viene aperto dal programma e, se non identificato come malevolo e dunque fermato da un Firewall o da un antivirus, viene avviato sfruttando la vulnerabilità di sicurezza. Le peculiarità di questo tipo di attacco sono:
ü L’intervento da parte dell’utente sul PC, l’exploit necessita infatti che l’utente ignaro della minaccia apra un file o clicchi su un link.
ü L’attacco è asincrono in quanto l’exploit non viene eseguito nel momento in cui entra in contatto con il sistema bersaglio, bisogna infatti aspettare l’azione da parte dell’utente che ne scatenerà l’esecuzione.
WannaCry sfrutta un exploit chiamato EternalBlue e sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows.
L’attacco del Ransomware WannaCry è stato fortemente rallentato quando un ricercatore britannico di 22 anni ha scoperto che prima di infettare un computer WannaCry cerca di contattare un indirizzo web, che in quel momento non risultava registrato. Il ricercatore ha supposto che questo fosse un kill switch, un piccolo check inserito dal creatore del malware che ne impedisce le operazioni malevoli ovvero una sorta di arresto di emergenza nel caso in cui il malware fosse finito nelle mani sbagliate. Dopo aver registrato quel dominio, è stata notata una rapida diminuzione delle infezioni del virus.
È possibile difendersi da un attacco ransomware come Wannacry? La risposta è SI. La falla sfruttata dagli hacker era stata “patchata” da Microsoft nei mesi precedenti, bastava scaricarla dal portale Microsoft e installarla sul computer per non essere infettati dal ransomware.
Ecco i consigli per difendersi. La prima mossa da fare è quella di eseguire affidabili backup, al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry. Poi la polizia postale nonché il CNAIPIC (Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche) consiglia di:
Lato client
– eseguire costantemente l’aggiornamento delle protezioni per sistemi Microsoft Windows
– aggiornare software antivirus:
– disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
– i ransomware si propagano anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
– i ransomware attaccano sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.
Lato sicurezza perimetrale
– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);
– dove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).
Infine, se da un lato la colpa è delle aziende che decidono di non aggiornare il sistema operativo del computer, dall’altro lato ci sono gli utenti. Quante persone sanno riconoscere una e-mail phishing, lo strumento più utilizzato per diffondere questo tipo di malware? Pochissime. Quante persone cliccano sui link senza pensare alle conseguenze che ne potrebbero scaturire? Tantissime. Basta un messaggio con scritto “Clicca qui per vedere se hai vinto uno smartphone”, o un banner pubblicitario che promette sconti dell’80% per convincere le persone a cliccare. Un’ignoranza diffusa in tutto il Mondo e che viene sfruttata dai pirati informatici per portare avanti attacchi su larga scala.
Un modo molto semplice per difendersi dagli attacchi hacker sarebbe quello di organizzare dei corsi aziendali di sicurezza informatica: le società spenderebbero meno soldi in formazione che nel ripagare tutti i danni compiuti dagli hacker. Purtroppo sono pochissime le società che investono nella formazione dei propri dipendenti e che preferiscono pagare il riscatto agli hacker.