Che cos’è WannaCry?

WannaCry è il nome di un attacco ransomware su scala globale, scoperto per la prima volta nel maggio del 2017, che ha colpito duramente le reti aziendali basate su sistemi Windows. Sfruttava una falla di sicurezza sul protocollo di rete SMB (Server Message Block), conosciuta con il nome di EternalBlue, per poi diffondersi come worm attraverso le reti prese di mira, e richiedendo infine un riscatto in Bitcoin.^[1]

Nonostante Microsoft abbia prontamente rilasciato una patch di sicurezza, non tutte le organizzazioni colpite sono state in grado di applicarla prontamente, per via del fatto che in certi casi, le vittime utilizzavano una versione di Windows talmente datata da non poter utilizzare la patch rilasciata.^[2]

L’11 maggio 2017, aziende e organizzazioni europee e statunitensi scoprirono all’improvviso di questo nuovo ceppo ransomware che si stava propagando a macchia d’olio tramite l’utilizzo dell’exploit EternalBlue per sfruttare una vulnerabilità nota sul protocollo SMB (Server Message Block).^[3] Il ramsomware WannaCry è ricordato come il primo attacco informatico in cui un virus altamente distruttivo fu in grado di sfruttare delle vulnerabilità di rete per infettare computer su larga scala.

Come avviene l’attacco?

Il ransomware WannaCry si diffonde nelle reti tramite l’exploit EternalBlue, prendendo di mira la vulnerabilità del protocollo SMB sui sistemi Windows, soprattutto quelli più datati, in cui gli amministratori non hanno potuto installare le opportune patch di sicurezza rilasciate.

Una volta che Wannacry si infiltra e si diffonde su una rete, i cybercriminali effettuano la crittografia dei dati degli utenti, costringendo poi le vittime a pagare un riscatto in criptovaluta, solitamente Bitcoin, per decriptare i dati e riottenere l’accesso.^[4]

Come si diffonde WannaCry?

In passato, i criminali informatici distribuivano i ransomware tramite e-mail o download di allegati malevoli. Tuttavia il ramsomware WannaCry segnò l’inizio di una nuova ondata di diffusione di malware tramite lo sfruttamento di vulnerabilità di rete per infettare computer su larga scala.^[3]

WannaCry si propagava grazie all’utilizzo dell’exploit EternalBlue, creato (e successivamente sottrattole) dalla National Security Agency statunitense. Questo exploit consentiva agli hacker di individuare i computer vulnerabili sulle reti bersaglio. WannaCry sfruttava inoltre una backdoor dell’NSA chiamata DoublePulsar per installare il ransomware sulla rete.

Prevenire WannaCry sarebbe stato decisamente più semplice che rimuoverlo. Basti pensare che questo ransomware è riuscito ad infettare oltre 250.000 sistemi in tutto il mondo. Le organizzazioni colpite da WannaCry non avevano molte vie d’uscita, se non pagare il riscatto o formattare i sistemi infetti e ripristinare i dati crittografati dai backup, sempre che ne avessero.

Fortunatamente, i ricercatori che si occupano di cyber security, tra cui anche due esperti di Proofpoint, sono riusciti a individuare un nome di dominio codificato all’interno del malware, e che veniva utilizzato per permettere ai cybercriminali di comunicare con le macchine infette. L’autore di WannaCry non aveva registrato il dominio, e questa disattenzione permise ai ricercatori di bloccarne la diffusione.

La vulnerabilità principale è rappresentata dai sistemi non aggiornati, sui quali non vengono installate le patch di sicurezza, oppure configurati in modo non adeguato. Per proteggere reti e dispositivi, è fondamentale applicare sempre le opportune patch di sicurezza non appena vengono rilasciate, verificare le configurazioni di sicurezza e testare l’infrastruttura backup per assicurarsi di poter ripristinare i dati aziendali in caso di incidente informatico.

Una delle lezioni più importanti appresa dal ransomware WannaCry e da altri attacchi informatici è quella di essere diligenti nella gestione delle patch di sicurezza, mantenendo sempre aggiornati i sistemi operativi e testando i backup da ripristinare in caso di attacco ransomware.

In termini più generali, aziende e organizzazioni a livello globale, dovrebbero adottare un approccio su più fronti in relazione al problema dei ransomware, evitando di pensare erroneamente che questa minaccia stia rallentando.

Misure di difesa contro i ransomware

La miglior strategia di difesa contro i ransomware consiste in un mix di funzionalità di prevenzione, rilevamento e recupero. Poiché la maggior parte dei ransomware si diffonde grazie a email malevole, le aziende dovrebbero investire in soluzioni in grado di bloccare i messaggi potenzialmente dannosi.

La seconda misura di prevenzione consiste nel bloccare le macro dannose presenti all’interno dei documenti, uno dei metodi più noti di diffusione dei ransomware.

La maggior parte delle aziende è in grado di impedire agli utenti di abilitare le macro nei documenti ricevuti dall’esterno della rete. Anche i sistemi di rilevamento sono molto utili.

Spesso, gli strumenti di sicurezza di rete e gli endpoint riescono ad impedire ai ransomware di crittografare i file degli utenti o di scaricare la chiave di crittografia dall’infrastruttura command-and-control del ransomware.

Per ultimo, una strategia proattiva di ripristino dei backup può fare miracoli per proteggersi dai danni causati dai ransomware. Le organizzazioni più strutturate, avendo solidi processi di backup, possono evitare di pagare i riscatti semplicemente ripristinando i dati criptati (anche se qualche ora di lavoro potrebbe andare perduta, in base alla frequenza dei backup). Di conseguenza, alcuni ransomware cercano di crittografare prima di tutto proprio i backup. Per questa ragione, implementare le opportune configurazioni di sicurezza è fondamentale per la stessa infrastruttura di backup.

[1] ZDNet. “This malware just got more powerful by adding the WannaCry trick to its arsenal”
[2] Ryan Kalember (Proofpoint). “Worldwide WannaCry Ransomware Attack Hits 99+ Countries, Proofpoint Researchers Significantly Reduce Impact”
[3] Proofpoint. “Cybersecurity Predictions for 2018”
[4] Proofpoint. “Ransomware is Big Business”