skip to main | skip to sidebar
13 commenti

Wannacry una settimana dopo; il punto della situazione

Ultimo aggiornamento: 2017/05/20 20:40. 

È passata una settimana dall'inizio di uno degli attacchi informatici più pesanti degli ultimi anni: il ransomware Wannacry, che ha fatto danni in tutto il mondo. Ne ho già parlato in questo articolo, ma riassumo qui le novità di questi primi sette giorni di quella che si annuncia come una convivenza a lungo termine con una serie di attacchi molto potenti.

Prima di tutto, sono a disposizione le istruzioni ufficiali su come difendersi da Wannacry fornite rispettivamente dalla Polizia di Stato italiana e dal GovCERT svizzero. In sintesi: se avete un Windows recente e aggiornato con le patch di sicurezza probabilmente non avrete problemi.

È importante sottolineare ancora una volta che questo malware, a differenza degli attacchi di ransomware abituali, si diffonde attraverso le condivisioni aperte incautamente verso Internet, senza richiedere l'apertura di allegati ricevuti via mail.

Un ricercatore, Adrien Guinet di Quarkslab, ha trovato che su Windows XP la chiave di decrittazione dei dati è a volte recuperabile se non si spegne il computer dopo l’infezione, ma XP è uno dei sistemi meno colpiti. Sulla base del suo lavoro è stato approntato WanaKiwi, un software di recupero che a quanto pare funziona anche su Windows 7, Vista, Server 2003 e Server 2008.

Un altro aspetto importante è che la vulnerabilità sta toccando anche dispositivi medicali, come quelli radiologici della Siemens:



Gli incassi in Bitcoin dei criminali informatici vengono monitorati da vari account Twitter, come @actual_ransom, e intorno a metà giornata erano arrivati a quasi 91.000 dollari suddivisi in poco meno di 300 pagamenti. Una miseria, rispetto ai danni causati, ma soprattutto una cifra intoccabile, visto che sarà difficilissimo che qualcuno accetti bitcoin provenienti dai portafogli dei criminali, che a questo punto hanno probabilmente alle calcagna gli esperti informatici dei servizi di sicurezza di mezzo pianeta.

Resta valida la raccomandazione di non pagare il riscatto, perché i criminali devono rispondere manualmente a ogni singola vittima e quindi i tempi di risposta sono lunghissimi a causa del numero elevato di vittime. 

Circolano già le prime teorie sull'identità di questi criminali, e qualcuno punta il dito verso la Corea del Nord per via di alcune analogie nel codice del malware usato, ma è decisamente poco per formulare accuse attendibili. Bruce Schneier è cautamente scettico.

In Svizzera il bilancio ufficiale è molto modesto, anche se Angelo Consoli sospetta che non tutto sia stato messo in luce adeguatamente. Per sapere quali e quanti sono i siti colpiti è possibile fare una prima ricognizione sommaria usando semplicemente Google per trovare i siti che espongono a Internet pagine Web cifrate da Wannacry, i cui file hanno quindi l'estensione wcry, come in questo esempio:

intitle:"index of" "WNCRY" site:.ch

Per cercare in altri paesi o domini di primo livello basta sostituire ch con il dominio corrispondente (per esempio it o fr o com). In Svizzera, per esempio, emerge Cash-Xpress, il cui sito pre-attacco è archiviato qui presso Archive.org e oggi versa in condizioni molto tristi:


Per una scansione più profonda occorrono altre tecniche: per esempio, si può usare Shodan per cercare i sistemi che hanno lasciato aperta verso Internet la porta 445 (un requisito per essere infettabili via Internet), dando i parametri port:445 country:ch (dove ovviamente al posto di ch si può specificare un altro paese oppure non specificare nulla e ottenere una mappa come quella mostrata in cima a questo articolo).

Combinando i dati raccolti da Shodan con questo script per nmap si può verificare quali di questi siti imprudentemente aperti sono effettivamente vulnerabili a Wannacry (perché usano Windows e non hanno installato gli aggiornamenti di Microsoft). Prima di farlo, naturalmente, verificate attentamente la legalità di effettuare una scansione di questo genere.

Secondo dati che mi sono stati forniti da chi ha fatto questo genere di scansione, al 15/5 c’erano in Svizzera circa 3000 indirizzi IP con porta 445 (SMB) aperta verso Internet e ancora ieri una trentina di questi erano vulnerabili a Wannacry; in Italia al 18/5 c’erano circa 15.000 indirizzi con porta 445 aperta, dei quali 247 ieri risultavano vulnerabili a Wannacry. I dati completi di questa scansione, con i domini corrispondenti agli indirizzi IP attaccabili, sono a disposizione delle autorità di sicurezza informatica dei rispettivi paesi qualora li trovassero utili: basta chiedermeli.

Intanto viene segnalato un altro malware che sfrutta la falla di Windows usata da Wannacry:


La tempesta, insomma, non è ancora passata e già si parla della prossima ondata: fra i grimaldelli informatici sottratti all’NSA ci sono infatti altri malware, come per esempio EsteemAudit, che si propaga in modo analogo a Wannacry attraverso le connessioni condivise di sistemi Windows non aggiornati (Financial Times; Fortinet).

Mikko Hyppönen di F-Secure spiega molto bene la dinamica di funzionamento e diffusione di Wannacry in questo video:


Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Scusate, ma mi è forse sfuggito un dettaglio importante...
Un computer protetto dall'attacco di Wannacry funziona come un vaccino, cioè fa da barriera anche per gli altri computer, oppure è semplicemente "trasparente" al ramsonware?
Mi spaventa un po' la parte iniziale: "In sintesi: se avete un Windows recente e aggiornato con le patch di sicurezza probabilmente non avrete problemi." Ma non era sufficiente questo? Inoltre: avere un firewall che rende le porte invisibili (non chiuse) aiuta in generale?
Avevo il computer spento quando è successo il casino venerdì scorso.
Trattandosi di PC con W7 usato raramente, non ricordo se sia già aggiornato con l'ultima patch oppure no.

Non l'ho ancora riacceso per paura che cominci eventualmente a crittografare i dati.

Posso chiaramente riaccenderlo e disattivare il wifi appena caricato Windows, ma per scaricare l'ultimo aggiornamento immagino che internet serva!

Avete suggerimenti che possano tornare utili in un caso come questo? Molte grazie!
Avevo il computer spento quando è successo il casino venerdì scorso.
Trattandosi di PC con W7 usato raramente, non ricordo se sia già aggiornato con l'ultima patch oppure no.

Non l'ho ancora riacceso per paura che cominci eventualmente a crittografare i dati.

Posso chiaramente riaccenderlo e disattivare il wifi appena caricato Windows, ma per scaricare l'ultimo aggiornamento immagino che internet serva!

Avete suggerimenti che possano tornare utili in un caso come questo? Molte grazie!
Ciao Paolo, ti segnalo questo articolo, da cui sembra sia disponibile un tool per la decriptazione in grado di girare, oltre che su xp, anche su vista, 7, Server 2003 e Server 2008 (sempre che il computer non sia stato riavviato)
Rispondo ai commenti:

@Jotar
In linea di principio no, anche se aiuta. Un computer che è protetto dall'infezione non può propagare l'infezione, e questo è buono, ma eventuali computer non protetti possono benissimo venire infettati in altro modo.

@Nucleo
Una della parti brutte di WannaCry è il fatto che sfrutta una vulnerabilità di windows per propagarsi in fretta. La patch chiude questa vulnerabilità e ti protegge, ma non del tutto, puoi sempre venire a contatto con l'infezione attraverso altri mezzi (come ad esempio una e-mail)
Un buon antivirus (anche gratuito) aiuta molto, e consiglio a tutti di tenerlo sempre aggiornato.
Un altro aspetto importante è che la vulnerabilità sta toccando anche dispositivi medicali, come quelli radiologici della Siemens
No, quello non è un apparecchio radiologico Siemens, è un iniettore medicale di fluidi (pompa d'iniezione) della ditta MedRad. Molto probabilmente è un iniettore per liquidi di contrasto usati in radiologia, ma non è un apparecchio radiologico.
Sono perplesso: il firewall di Windows non dovrebbe chiudere di default tutte le porte in ingresso?
Inoltre con l'uso della broadband i pc non sono normalmente esposti ad Internet, essendo schermati dal router.
(mi riferisco naturalmente ai pc casalinghi)

Stupisce comunque che server web abbiano la porta SMB raggiungibile da Internet!
Bella l'osservazione di Mikko: -Una volta che funziona, un dispositivo connesso lo lasciamo stare, senza impostare una password o metterlo su un altra rete. In questo modo, un auto che si guida da sola potrà anche RUBARSI da sola, andando via in piena notte dal nostro parcheggio 8-O
Se non ho capito male il problema sorge con la condivisione di cartelle su internet e non sulla sola rete locale. Cosa che non mi sembra molto comune e neanche furba ma, visti i risultati, sembra invece che non sia così.

@Matteo
gli aggiornamenti si possono scaricare anche offline, conoscendo il numero dell'aggiornamento lo potresti fare anche con uno smartphone. Il problema è che gli aggiornamenti di solito hanno una descrizione molto generica ed individuare quello giusto potrebbe essere un problema.
Paolo, scrivi: "È importante sottolineare ancora una volta che questo malware, a differenza degli attacchi di ransomware abituali, si diffonde attraverso le condivisioni aperte incautamente verso Internet, senza richiedere l'apertura di allegati ricevuti via mail."

Io ho capito diversamente. Un worm iniziale esiste, ne no visto il codice e ne ho seguito passo passo le routine che compie per infettare. Questo worm arriva per forza dall'esterno, tipicamente una e-mail cosi' come potrebbe essere inserito (immagino) in una pagina Internet o altro. Poi una volta che il worm viene eseguito, la propagazione via SMB è automatica, come dici, e non serve alcun intervento umano (apertura di mail o clik) per tutte le centinaia di dispositivi che trova in rete via SMB 1.0.

Proprio per questi tu dicevi che un buon antivirus potrebbe bastare per fermare la infezione originale, sempre che il virus sia immediatamente identificabile (riconosciuto) come tale. A volte lo è solo il giorno dopo, al primo aggiornamento dell'antivirus, quando è troppo tardi. Questo aspetto andrebbe chiarito.

E se ci fosse altro, oltre a wannacry?

https://www.technologyreview.com/s/607895/wannacry-has-a-more-lucrative-cousin-that-mines-cryptocurrency-for-its-masters/
Qui: https://twitter.com/MitiDellaMura/status/866610130644807683
[quote]Al momento non ci sono notizie di soggetti colpiti da #wannacry che pagato il riscatto hanno ricevuto la chiave, @lastknight #stopwannacry[/quote]
Retwittato da @lastknight, quindi conferma.

Qualcosa non mi torna.
1- Nel tuo articolo dici 'perché i criminali devono rispondere manualmente a ogni singola vittima', e non si capisce perchè se poi non mandano le chiavi.
2- Non c'è alcuna vittima che abbia esplicitamente confermato che, pur pagando, non ha ricevuto le chiavi? Perchè non han avvisato altri che è inutile?
3- Non c'è alcun 'investigatore' che ha provato la procedura, al fine di verificare se c'è una qualche forma di falla o esposizione dei criminali?
Mah.