Che cos'è il ransomware WannaCry?
Il ransomware WannaCry può criptare file, cartelle e applicazioni, rendendoli inaccessibili fino a quando non viene pagato un riscatto. In un panorama in cui il numero degli attacchi ransomware sferrati contro le aziende è in continuo aumento, sia in termini di dimensioni che di portata, può essere utile sapere da chi è stato creato WannaCry, come avviene l'infezione delle reti e quali misure è possibile adottare per proteggere i sistemi.
Che cos'è un attacco ransomware WannaCry?
WannaCry è un tipo di ransomware, ovvero un malware che cripta i dati (file specifici o interi sistemi informatici) e richiede il pagamento di un riscatto per decriptarli. Per infettare i dispositivi, WannaCry sfrutta una vulnerabilità presente nel software di alcuni sistemi operativi Windows. A oggi, ha causato perdite finanziarie e danni alla reputazione di vasta portata.
WannaCry è stato sviluppato a partire da un exploit noto con il nome in codice "EternalBlue", creato dalla National Security Agency (NSA) degli Stati Uniti e poi trafugato dal gruppo di hacker Shadow Brokers. Il gruppo ha utilizzato l'exploit per colpire i sistemi operativi Windows privi di patch o obsoleti. Il fatto che molte organizzazioni non avessero aggiornato immediatamente i loro sistemi installando le patch di sicurezza, rilasciate nel frattempo da Microsoft, ha consentito agli hacker di sfruttare queste vulnerabilità per portare a segno un attacco.
Il 12 maggio 2017 segna la data di uno dei più significativi attacchi basati sul ransomware WannaCry registrati fino a oggi. Diffondendosi in più di 230.000 PC Windows in oltre 150 paesi, in un solo giorno ha colpito aziende, agenzie governative e strutture sanitarie. Tra le più importanti aziende colpite sono incluse Telefónica, Deutsche Bahn, il gruppo LATAM Airlines, FedEx e le case automobilistiche Hitachi, Renault e Honda.
Approfittando della mancata applicazione della patch al software Windows, i criminali hanno potuto colpire anche i sistemi di molti servizi sanitari, come quello del Regno Unito (NHS, National Health Service) criptandoli e rendendoli inaccessibili. L'attacco ha causato danni per miliardi di dollari in tutto il mondo ed è noto per essere uno degli eventi ransomware più significativi fino a oggi.
Il ransomware WannaCry è stato alla fine fermato dall'esperto di sicurezza informatica Marcus Hutchins. Nello stesso mese, Hutchins ha sviluppato e protetto da vari tentativi di rimozione un nome di dominio che operando da kill switch era in grado di bloccare definitivamente il malware.
Oggi molte aziende sono consapevoli dell'importanza dell'applicazione delle patch, ma i criminali conoscono numerosi modi per accedere ai loro sistemi. Il ransomware continua a rappresentare un grave pericolo per vari motivi:
- Può causare ingenti perdite economiche e danni alla reputazione.
- In media, le aziende colpite da un attacco ransomware registrano un'interruzione delle attività di 21 giorni.
- Può causare problemi di conformità, con ulteriori gravi ripercussioni per l'azienda colpita.
Chi ha creato WannaCry?
Dopo essere stato rubato all'NSA dal gruppo Shadow Brokers, il codice dell'exploit EternalBlue è stato ulteriormente sviluppato e utilizzato per i loro attacchi da altre bande di hacker. Secondo una comunicazione dei governi di Regno Unito e Stati Uniti, la responsabilità dell'attacco WannaCry potrebbe essere di un'organizzazione di hacker nordcoreani denominata Lazarus Group.
Nel febbraio 2021, il Dipartimento di giustizia degli Stati Uniti ha confermato l'accusa a carico di tre programmatori nordcoreani in relazione alla creazione e distribuzione del ransomware WannaCry finalizzata al furto di dati sensibili e all'estorsione di denaro.
Come avviene l'infezione delle reti?
Il ransomware WannaCry utilizza il codice dell'exploit EternalBlue per individuare eventuali vulnerabilità presenti nei sistemi operativi Windows. Una di queste vulnerabilità riguarda SMB (Server Message Block), un protocollo di accesso a file e servizi condivisi, tramite il quale i criminali possono criptare i file e quindi richiedere alle vittime il pagamento di un riscatto. Il funzionamento è simile a quello di Phobos, un vecchio tipo di ransomware che cercava e sfruttava le porte RDP (Remote Desktop Protocol) non protette.
Durante un attacco WannaCry, l'exploit invia un codice di richiesta SMB Echo a un protocollo SMB di destinazione utilizzato dai dispositivi Microsoft Windows. Se alla richiesta non fa seguito una risposta, viene creata una backdoor (un sistema per entrare nel sistema evitando le misure di sicurezza di autenticazione e autorizzazione).
Utilizzando lo strumento malware backdoor DoublePulsar per eseguire Il ransomware WannaCry, gli hacker possono creare una connessione che consente loro di acquisire informazioni o di inserire nel sistema un malware, ad esempio il ransomware WannaCry.
Questo strumento consente agli hacker di sviluppare una connessione tra i protocolli SMB (porta TCP 445) o RDP (porta TCP 3389) e distribuisce una chiamata asincrona di procedura (APC, Asynchronous Procedure Call). Questo passaggio consente allo strumento di aggiungere una DLL nel file Lsass.exe (Local Security Authority Subsystem Service.exe), il servizio del sottosistema dell'autorità di sicurezza locale responsabile dei criteri di protezione del sistema operativo Windows, ad esempio in relazione alle modifiche delle password e i servizi di autenticazione, nonché la replica dei programmi. Una volta completata questa operazione, è possibile rilasciare in questi sistemi uno shellcode, con una tecnica nota come heap spraying, e il codice backdoor esistente può essere eliminato.
Mettendo in atto un comportamento analogo a quello dei worm, dopo essere penetrato in un dispositivo, WannaCry esamina anche la rete alla ricerca di altri dispositivi che presentano software privi di patch o non aggiornati e altre vulnerabilità analoghe dove poter replicare il proprio codice dannoso.
A differenza di molti altri tipi di attacchi ransomware, WannaCry si manifesta in modo evidente visualizzando un messaggio simile a quello mostrato di seguito e chiedendo il pagamento di un riscatto.
Una volta che i dispositivi sono stati infettati, l'unico modo per accedere ai dati è utilizzare un backup esterno di file e cartelle, se disponibile, o pagare il riscatto. Il pagamento del riscatto non è tuttavia consigliabile, poiché non ci sono garanzie di poter tornare ad accedere ai sistemi aziendali.
Le patch per Windows
A seguito degli attacchi del ransomware WannaCry del 2017, Microsoft ha sviluppato alcune patch di sicurezza di emergenza per tutti i sistemi Windows, inclusi Windows XP, Windows Vista, Windows 8 e le edizioni meno recenti di Windows Server. L'azienda inoltre pubblicato un annuncio per affermare che i clienti che avevano abilitato gli aggiornamenti automatici erano al sicuro. I clienti con impostazioni di aggiornamento manuale sono stati invece "incoraggiati a installare l'aggiornamento il prima possibile".
Con la continua evoluzione degli attacchi ransomware, sempre più frequenti che sofisticati, l'importo richiesto come riscatto in media è aumentato da 5.000 dollari nel 2018 a circa 200.000 nel 2020, secondo il National Security Institute. Nel 2021, una compagnia assicurativa ha effettuato un pagamento di 40 milioni di dollari, stabilendo un nuovo record mondiale per la somma più elevata pagata per un ransomware.
Il malware rimane un'attività redditizia per i criminali informatici e pochissimi varianti di ransomware hanno chiavi di decriptaggio pubblicamente disponibili. Ciò significa che la rimozione di ransomware dal PC e dai dispositivi associati è un'operazione complessa e potrebbe non essere possibile recuperare i file (anche se l'azienda paga il riscatto). È quindi essenziale adottare misure per prevenire un attacco ransomware, comprese le patch software, a fine di garantire che l'azienda rimanga al sicuro da futuri attacchi informatici.
WannaCry è ancora attivo?
Un kill switch è stato in grado di fermare l'attacco WannaCry di maggio 2017 e Microsoft ha rilasciato una patch per proteggere i sistemi operativi vulnerabili dall'exploit EternalBlue, ma il ransomware rimane una minaccia attiva.
WannaCry continua a essere aggiornato dai gruppi di hacker e a rappresentare una minaccia significativa per le aziende. Sofisticate varianti di ransomware, come Petya e NotPetya, sono state ispirate da WannaCry e includono funzionalità simili, cercando la stessa vulnerabilità nelle applicazioni Windows. Anche la percentuale di organizzazioni vittime di attacchi ransomware in tutto il mondo è aumentata, dal 55,1% nel 2018 al 68,5% nel 2021.
Con un'ampia varietà di minacce all'interno del panorama della sicurezza informatica, l'installazione di strumenti di protezione ransomware è quindi essenziale.
Come prevenire gli attacchi ransomware
Intervenire attivamente per prevenire un attacco ransomware è fondamentale per proteggere le risorse digitali di un'azienda:
- Ispezioni periodiche e complete della rete: le ispezioni di routine delle attività aziendali dovrebbero includere valutazioni delle vulnerabilità che analizzano la rete, i dispositivi connessi e le applicazioni alla ricerca di eventuali punti deboli all'interno del software che potrebbero portare a un attacco o a una violazione dei dati.
- Formazione per migliorare la consapevolezza della sicurezza informatica: le strategie di sicurezza dovrebbero includere la formazione sulla sicurezza informatica. Questa dovrebbe mirare ad aumentare la consapevolezza dei dipendenti sui vettori di attacco comuni, come ricevere un'email da un mittente sconosciuto e cadere vittima di phishing o fare clic su un allegato che potrebbe contenere un malware Trojan horse.
- Criteri relativi alle password: l'adozione di criteri relativi alle password dovrebbe incoraggiare i dipendenti a utilizzare password affidabili che proteggano l'organizzazione dalle minacce esterne, nonché promuovere l'uso del controllo degli accessi basato sui ruoli per proteggere i dati e i file sensibili.
- Aggiornamento del sistema operativo e delle applicazioni: prevenire le minacce che possono avere un impatto sull'azienda e proteggere file e applicazioni importanti è essenziale. Ciò include l'aggiornamento regolare dei sistemi e la distribuzione di strumenti che correggono automaticamente eventuali vulnerabilità del software.
Proteggiti dagli attacchi del ransomware WannaCry
Dal 2017 Avast ha bloccato oltre 170 milioni di attacchi basati sul ransomware WannaCry. Scopri in che modo le nostre soluzioni possono fornire alle piccole imprese strumenti di protezione semplici ma potenti, progettati per assicurare la protezione di dispositivi e dati da malware, phishing, ransomware e altri attacchi informatici avanzati.