Ransomware WannaCry cosa è

Ransomware WannaCry cosa è e come difendersi

Il ransomware WannaCry è un malware che ha fatto storia, sia per la sua diffusione in tutto il mondo che per la tipologia particolare d’attacco. L’esperienza WannaCry è stata molto utile per tutti i produttori di soluzioni per la sicurezza informatica, perché studiare a fondo il ransomware ci ha permesso di capire come è stato costruito, le strategie di distribuzione e l’effetto ottenuto in modo da prevenire in futuro attacchi simili. Si può dire che, dopo WannaCry, la protezione informatica non è più stata la stessa, ma non si può dire altrettanto per la sensibilità al tema di utenti privati e aziendali. Per questo è ancora importante “fare cultura” a partire dall’esperienza del ransomware WannaCry.

1. Ransomware WannaCry la storia

Il ransomware WannaCry (letteralmente Voglio Piangere), noto anche come WanaCrypt0r 2.0, è un (crypto)worm di tipologia ransomware. Diffusosi a maggio del 2017, è stato responsabile di un’epidemia mondiale diffusasi su computer con Microsoft Windows. Una volta in esecuzione il virus criptava i file presenti sul computer e chiedeva un riscatto di alcune centinaia di dollari per decriptarli. 

Tra il 12 e il 15 maggio 2017, il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo. Tra queste Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Renault, il National Health Service inglese, il Ministero dell’Interno russo e l’Università degli Studi di Milano-Bicocca, solo per citare le aziende e le istituzioni più importanti. Inoltre, WannaCry ha bloccato l’attività di diversi ospedali nel Regno Unito in cui era ancora molto diffusa la presenza del sistema operativo Microsoft Windows XP. 

A fine maggio 2017, il conto dei computer infetti è stato di circa 230mila unità in 150 Paesi diversi, guadagnandosi la palma di uno dei virus informatici più importanti per danni provocati. Tecnicamente, WannaCry ha sfruttato una vulnerabilità di SMB (Server Message Block) tramite un exploit chiamato EternalBlue. Ciò significa che il virus ha sfruttato una “imperfezione” nel protocollo SMB che definisce la condivisione di file, stampanti, porte seriali e comunicazioni di rete su Windows. La cosa curiosa è che WannaCry sembra essere stato sviluppato dalla NSA (National Security Agency) americana, proprio per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows.


>> FlashStart è il filtro Internet DNS che garantisce la sicurezza dei tuoi dispositivi ovunque essi siano → Attiva subito una prova gratuita


2. Come si è propagato il ransomware WannaCry

Inizialmente si è pensato che il ransomware WannaCry venisse diffuso attraverso finte email e, dopo che veniva installato su un computer, iniziava a infestare altri sistemi connessi alla stessa rete, senza alcun intervento degli altri utenti e senza che ci si rendesse conto. Nel caso dell’attacco all’Università di Bicocca, però, sembra che il worm si sia propagato attraverso una chiavetta USB. Ciò ha fatto capire che WannaCry non si è propagato solo a seguito di un’azione involontaria di un dipendente.

L’attacco avveniva in successione: prima attraverso l’exploit EternalBlue e dopo attraverso il ransomware che esegue la cifratura dei file. EternalBlue abilitava il criptaggio dei file bloccandone l’accesso, aggiungeva l’estensione .WCRY e impediva il riavvio del sistema. A quel punto, nel file denominato @Please_Read_Me@ veniva indicata una richiesta di riscatto, inizialmente di 300 dollari ma poi raddoppiata a 600, da pagare in bitcoin per ottenere lo sblocco dei file.

Microsoft stessa, che ha partecipato attivamente all’indagine, ha dichiarato che WannaCry si è propagato in due modi: 

» Tramite un’email di phishing (contenenti finte fatture, note di credito, bollette, ecc.), o tramite chiavette USB (come successo all’Università Bicocca). 

» Tramite attacco diretto mediante EternalBlue attraverso il protocollo SMB in macchine non aggiornate.

EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)”. Purtroppo, molti computer, sia privati che aziendali non erano aggiornati, vanificando la distribuzione delle patch di sicurezza realizzate dai produttori di software come Microsoft.

Altro elemento che ci fa capire quanto fosse sofisticato WannaCry è la sua capacità di eliminare le copie di backup (shadow copies) di Windows e di riscrivere alcuni file presenti in cartelle di sistema. Infine, il malware riusciva a installarsi e propagarsi partendo da un semplice account utente, senza i privilegi da amministratore.


>> L’Intelligenza Artificiale di FlashStart ti garantisce una protezione della navigazione costantemente aggiornata → Attiva subito una prova gratuita


3. Chi ha sferrato l’attacco ransomware

Prima di risalire ai responsabili dell’attacco, c’è da segnalare che l’exploit EternalBlue è stato rubato a suo tempo da un gruppo di hacker che si fa chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.
Nonostante il numero di dispositivi coinvolti e l’alta risonanza mediatica, il ransomware WannaCry non è stato un grande successo in termini puramente economici. Attraverso l’analisi dei tre conti in bitcoin in cui doveva essere veicolato il riscatto, infatti, si è calcolato che i cybercriminali abbiano raccolto appena 100mila dollari a fronte di circa 300 riscatti pagati. Ciò ha fatto pensare a una mossa dimostrativa più che a un’azione finalizzata a conseguire un consistente guadagno economico.
Inizialmente si è pensato che il gruppo di hacker fosse di provenienza russa e cinese – anche se tra i siti violati, diversi erano russi. Più recentemente, l’attenzione si è concentrata su un gruppo chiamato Lazarus e individuato in Corea del Nord. Lo hanno dichiarato due vendor leader di security che hanno rilevato nel codice del malware delle similitudini con attacchi precedenti. In particolare, ci si riferisce a quello alla Banca Centrale del Bangladesh del 2016 (il più grande furto informatico di sempre, 82 milioni di dollari rubati), e quello a Sony Pictures Entertainment, attaccata per aver prodotto «The interview», film satirico contro il leader nordcoreano Kim Jong-un.

4. Come difendersi dal ransomware

Le azioni consigliate a seguito dell’attacco sono state le seguenti:
Installare e far girare il software gratuito WanaDecrypt per tentare di decriptare i file bloccati.
» Aggiornare alle ultime versioni l’antivirus presente
» Installare l’update Microsoft MS17-010.
» Infine, è stato consigliato di disattivare SMBv1, ovvero di bloccare il traffico SMB in entrata sulla porta 445. Ancora, isolare i sistemi vulnerabili e non aggiornati e definire un processo puntuale di backup.
In definitiva, WannaCry ci ha messo di fronte alla realtà dei fatti: troppi sistemi non sono aggiornati o usano sistemi operativi obsoleti o, addirittura, per i quali non è più prevista la manutenzione, e quindi la distribuzione delle patch. Dunque, in questo caso, la responsabilità della propagazione non è imputabile solo al dipendente “distratto” che ha cliccato su un link infetto o ha installato un file .exe senza sapere cosa sta facendo, ma, piuttosto, ai responsabili dei sistemi IT aziendali che non si preoccupano abbastanza degli aggiornamenti.

5. Come proteggersi dai cyberattacchi

Un filtro DNS per la navigazione è un servizio web che, a fronte di una piccola fee mensile, protegge la navigazione di tutti i dispositivi connessi alla stessa rete, sia in casa che in azienda. Sinteticamente, un filtro DNS per la navigazione controlla il link cliccato prima che venga raggiunto dall’utente, se risulta inserito nella cosiddetta black list, sarà impedito il caricamento della pagina. Questa è la soluzione più adatta per proteggere un dispositivo da un attacco che si propaga attraverso l’invio di un link infetto o di un allegato sospetto.
I filtri per la navigazione via DNS si aggiornano e si migliorano costantemente. Per esempio, sfruttando l’intelligenza artificiale per migliorare la rilevazione delle minacce online e personalizzare le impostazioni di blocco grazie all’automazione.
Altra caratteristica dei migliori filtri DNS per la navigazione è l’aggiornamento dinamico delle black list e l’introduzione di funzionalità come il geoblocking che permette di impedire la navigazione verso domini e indirizzi IP da cui partono gli attacchi da parte dei cybercriminali.
Nella scelta di un filtro DNS per la navigazione, dunque, è importante considerare un fornitore che garantisca l’aggiunta costante di nuove funzionalità e l’aggiornamento dei database di siti da evitare.

6. Come funzionano i filtri DNS

Insomma, il modo migliore di proteggersi dallo spam e per evitare di incorrere in siti malevoli è opportuno dotarsi di un servizio di filtraggio basato su DNS. Molti filtri DNS sono troppo sofisticati, complessi da installare e gestire e costosi. Ma ce ne sono di perfetti per l’utilizzo in famiglia, in azienda, nella Pubblica Amministrazione e nelle Istituzioni Scolastiche. Il filtro DNS di FlashStart è la scelta giusta per chi vuole un servizio di monitoraggio della navigazione semplice da configurare, da personalizzare e sempre aggiornato. 

Se hai già attivato FlashStart, leggi questa guida che spiega come estendere le Blacklist per il filtraggio DNS di Internet.

Il filtro DNS di FlashStart analizza con attenzione tutte le fermate di un percorso che fa una richiesta di accesso a un sito. Il filtro utilizza anche algoritmi di machine learning per escludere a priori i percorsi pericolosi, velocizzando così il controllo. In più, FlashStart utilizza registri DNS aggiornati e affidabili nell’analisi dei percorsi da utente al sito richiesto. 

Capace di filtrare circa 2 miliardi di query di siti Web, FlashStart DNS protegge ogni giorno la navigazione di 25 milioni di utenti, è presente in più di 140 Paesi nel mondo e in circa 10mila tra aziende, scuole e pubbliche amministrazioni e viene erogato, anche sotto forma di servizio, da 700 partner certificati. 

FlashStart DNS, inoltre, è sempre più adottato dagli Internet Service Provider italiani che devono adeguarsi alla legge sulla protezione della navigazione dei minori.

In conclusione, riassumiamone i sette punti distintivi di FlashStart DNS:

» Aggiornamento frequente delle black list: FlashStart verifica 200mila nuovi siti al giorno.
» Bassa latenza garantita (la latenza è il tempo che passa tra richiesta e accesso).
» 200 categorie di siti dannosi e geoblocking per isolare i Paesi pericolosi
» Uso dell’Intelligenza Artificiale per migliorare la qualità delle blacklist e per la latenza.
» Facilità di configurazione e personalizzazione.
» Integrazione nativa con Active Directory di Microsoft per velocizzare il lavoro degli amministratori di sistema di Scuole, Istituzioni e PMI.
» Protezione LAN mondiale e il roaming sugli end point attraverso la rete Anycast.


È possibile attivare la protezione FlashStart® Cloud su qualsiasi tipo di router e firewall per proteggere i dispositivi desktop e mobili e i dispositivi IoT sulle reti locali.

Tempo di lettura 3 min
Valerio MarianiB2B IT Journalist & Digital content
Mi occupo di fornire alle aziende analisi approfondite e contenuti digitali di alta qualità per aiutarle a rimanere competitive nel mercato tecnologico. Sono qui per fornire intuizioni chiare e strategie di comunicazione efficaci per il successo aziendale.

Visualizza tutti gli articoli di Valerio Mariani

Mi occupo di fornire alle aziende analisi approfondite e contenuti digitali di alta qualità per aiutarle a rimanere competitive nel mercato tecnologico. Sono qui per fornire intuizioni chiare e strategie di comunicazione efficaci per il successo aziendale.
Condividi questo articolo:  
For information
click here
For a free trial
click here
For prices
click here
Follow us on
Linkedin | YouTube