Cos'è l'attacco ransomware WannaCry?

WannaCry è un cryptoworm ransomware apparso inizialmente il 17 maggio 2017. Conosciuto anche come WannaCrypt, WannaDecryptOr 2.0 e WanaDecryptOr 2.0, si rivolge specificamente ai computer che eseguono qualsiasi versione del sistema operativo Microsoft.

I criminali informatici ingannano gli utenti o utilizzano l'ingegneria sociale per scaricare il virus e ottenere l'accesso a computer e reti. Criptano o "rapiscono" file, applicazioni e programmi essenziali da molte reti di computer. I criminali informatici utilizzano quindi questo attacco ransomware WannaCry per chiedere il pagamento (o il riscatto) per ripristinare i file crittografati all'utente.

Il ransomware può costare alla tua azienda fino a 2 milioni di dollari per ogni incidente. La creazione di un sistema di backup dinamico è uno dei modi migliori per evitare che la tua rete venga tenuta in ostaggio. Veeam può aiutare la tua azienda offrendo un backup sicuro che protegge i dati più importanti se cadi vittima di un attacco ransomware. Nella maggior parte dei casi, è possibile tornare operativi in tempi brevi.

Come funziona

WannaCry utilizza una vulnerabilità nel Server Message Block (SBMv1) del sistema operativo Microsoft. Quando WannaCry infetta un computer o una rete di computer, sul computer dell'utente viene visualizzata una schermata che informa che i file sono stati crittografati e che l'utente deve pagare un riscatto di 300 $ in bitcoin entro tre giorni o 600 $ entro sette giorni.

L'aspetto forse più interessante, nonché un monito per tutte le aziende ad aggiornare regolarmente il software, è il fatto che Microsoft ha scoperto da sola la vulnerabilità e ha rilasciato una patch per tutti i sistemi supportati due mesi prima della comparsa di WannaCry. In seguito, ha rilasciato una patch per le versioni precedenti di Microsoft. Purtroppo, questa correzione non ha impedito l'utilizzo di WannaCry.

Come si diffonde WannaCry

WannaCry si concentra su una versione precedente di SMBv1. Si scarica sui computer come un programma autonomo che estrae i componenti necessari per crittografare i dati dell'utente. Si diffonde rapidamente in qualsiasi rete che utilizzi computer Microsoft più vecchi, compresi quelli non più supportati, come Windows XP e Windows 7.

WannaCry è anche un worm di rete in grado di trasportarsi da solo. Una volta ingannato inizialmente l'utente per fargli scaricare il virus, questo può diffondersi automaticamente utilizzando il codice di trasporto. WannaCry cerca altre macchine che potrebbero essere infette, quindi utilizza un hack inizialmente sviluppato dalla National Security Agency (NSA) degli Stati Uniti per accedere ai computer. Ottiene quindi l'accesso alle reti informatiche attraverso DoublePulsar, un software "backdoor" sviluppato dalla NSA, rubato da un gruppo di hacker noto come Shadow Brokers (un nome ispirato a un personaggio del videogioco Mass Effect), e poi rilasciato al pubblico nell'aprile 2017. I ricercatori hanno detto che DoublePulsar ha infettato diverse centinaia di migliaia di macchine dopo pochi giorni e stava crescendo rapidamente.

WannaCry Kill Switch

Una volta avviato, WannaCry tenta di accedere a un URL codificato in modo rigido, chiamato kill switch. Crittografa i dati essenziali sul computer se non riesce a raggiungere quell'URL. Se il software si connette a tale URL, il computer si spegne e non vengono arrecati ulteriori danni.

Gli esperti di computer che hanno studiato WannaCry non sono sicuri del motivo per cui è stato usato. WannaCry utilizza un URL senza senso logico (ad esempio, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(dot)com) come kill switch. Marcus Hutchins, un ricercatore di sicurezza britannico, ha iniziato a studiare il virus WannaCry quasi immediatamente. Ha notato che ha cercato di contattare questo URL, concludendo che il software si comportava in questo modo per depistare i ricercatori e rendere più complicata l'analisi del codice.

Tuttavia, Hutchins ha fatto molto di più che studiare il virus. Ha pagato per registrare questo URL e ha creato una pagina Web, impedendo di fatto a molte versioni di WannaCry di crittografare i file su altri computer in tutto il mondo. Poiché i criminali informatici hanno continuato a utilizzare diversi URL senza senso logico su versioni più recenti, altri ricercatori informatici hanno duplicato le azioni di Hutchins registrando gli URL, creando siti Web e rendendo WannaCry inefficace. A pochi giorni dall'attacco iniziale, l'attacco ransomware WannaCry era rallentato fino a diventare un rivolo. Le versioni più recenti di WannaCry evitano di utilizzare il kill switch.

La storia di WannaCry

L'NSA ha scoperto la vulnerabilità SMBv1 diversi mesi prima degli attacchi WannaCry. Ha quindi sviluppato un hack per sfruttare il sistema noto come EternalBlue, ma non ha comunicato a Microsoft di aver trovato questa vulnerabilità. Gli Shadow Brokers hanno poi hackerato la NSA nell'aprile 2017, hanno rubato il codice a EternalBlue e lo hanno rilasciato al pubblico. Mentre c'erano versioni di WannaCry che circolavano su Internet per mesi prima degli attacchi di maggio 2017, i criminali informatici hanno utilizzato EternalBlue per renderlo molto più pericoloso.

Chi ha creato WannaCry?

Nessun gruppo ha mai rivendicato pubblicamente la proprietà di WannaCry. Tuttavia, i ricercatori delle società di sicurezza informatica hanno scoperto che il codice utilizzato in WannaCry presentava somiglianze con il codice precedentemente utilizzato dal Gruppo Lazarus (che si è anche autodefinito Guardiani della Pace). Si ritiene che questo gruppo sia collegato al governo nordcoreano ed è stato responsabile dell'attacco informatico del 2014 alla Sony Pictures in risposta a un film della Sony che mostrava il dittatore nordcoreano Kim Jong-un ucciso.

Dopo diversi mesi di indagini, il governo degli Stati Uniti ha formalmente accusato la Corea del Nord di essere responsabile di WannaCry. La Corea del Nord ha negato tutte le accuse. Nuova Zelanda, Giappone e Canada si sono uniti agli Stati Uniti nell'accusare la Corea del Nord. Più tardi, il Regno Unito ha affermato che gli Stati Uniti avevano ragione nella loro valutazione.

Molti esperti di ricerca informatica e governi stranieri hanno inoltre criticato l'NSA per non aver notificato in anticipo a Microsoft di aver trovato la vulnerabilità SBMv1. Molti ritengono che la NSA avrebbe potuto tranquillamente informare Microsoft del problema senza renderlo pubblico. Il presidente russo Vladimir Putin ha incolpato direttamente i servizi segreti americani per il virus WannaCry, perché hanno creato EternalBlue.

Perché WannaCry funziona

WannaCry funziona perché si basa su diversi fattori chiave:

Molte aziende utilizzano sistemi operativi Windows più vecchi e non supportati

Molte aziende in tutto il mondo, in particolare nei paesi in via di sviluppo, non possono permettersi di acquistare nuovo software ogni volta che è disponibile un nuovo sistema operativo Microsoft. Inoltre, non possono permettersi di acquistare computer più recenti che utilizzano i più recenti sistemi operativi Microsoft. Molte reti di computer a livello globale utilizzano ancora sistemi operativi Microsoft con la vulnerabilità SBMv1. Di conseguenza, è facile per WannaCry infettare i computer su scala globale.

Anche con i sistemi operativi più recenti, molti utenti e aziende non aggiornano regolarmente i loro sistemi ogni volta che Microsoft rilascia nuove patch per risolvere le vulnerabilità

Questo è vero anche nelle aziende che hanno grandi operazioni di sicurezza su Internet. Molte persone usano scuse legate a motivi aziendali, come interruzioni della rete o il timore che le nuove patch rendano inutilizzabili altri software, per evitare di scaricare le patch.

Molte aziende non vogliono dedicare tempo o denaro alla creazione di backup sicuri dei loro documenti più importanti

Forse il modo migliore per sconfiggere un ransomware come WannaCry è disporre di un sistema di backup sicuro per i documenti più importanti. Sfortunatamente, molte delle aziende colpite da WannaCry non lo avevano fatto. Hanno dovuto chiudere reparti essenziali delle loro attività, in alcuni casi interi stabilimenti, o sospendere del tutto la produzione per diversi giorni.

L'impatto

L'impatto di WannaCry è mondiale e piuttosto grande. Le stime di diversi gruppi di ricerca collocano il numero di computer infetti tra 200.000 e 250.000 in 150 paesi. Il virus colpisce Taiwan, India, Ucraina e Russia, principalmente a causa dell'uso di vecchi sistemi operativi Microsoft. Grazie alle misure difensive, come la scoperta del kill switch da parte di Marcus Hutchins, i paesi nordamericani sono meno colpiti.

Forse la più grande agenzia colpita dal virus WannaCry è il Servizio Sanitario Nazionale in Inghilterra e Scozia. WannaCry non ha interessato solo i computer, ma anche i frigoriferi per la conservazione del sangue, le apparecchiature delle sale operatorie e gli scanner per la risonanza magnetica. Il virus ha costretto l'NHS a cancellare migliaia di visite ospedaliere non urgenti, con un costo di milioni di sterline.

Altre organizzazioni colpite da WannaCry includevano stazioni di polizia in India; università in Grecia, Canada e Indonesia; case automobilistiche in Russia, Romania e Giappone; FedEx; ospedali in Slovacchia e Indonesia; le reti di telecomunicazione del Portogallo e dell'Arabia Saudita; la ferrovia russa; e persino i tribunali in Brasile. Queste sono solo alcune delle centinaia di aziende e organizzazioni colpite da WannaCry. Sebbene WannaCry richieda solo il pagamento di semplice riscatto da 300 $ a 600 $, il costo complessivo per le aziende è stato stimato in 4 miliardi di dollari di perdite di produzione.

Risposta difensiva

Senza dubbio colpita dallo sfruttamento delle versioni precedenti del suo sistema operativo, Microsoft ha integrato gli strumenti anti-ransomware in Windows 10 e Windows 11. Conosciuto come Accesso controllato alle cartelle, questo strumento consente di scaricare sui computer solo applicazioni controllate.

Sempre a pochi giorni dagli attacchi iniziali di WannaCry, Microsoft ha rilasciato delle patch per risolvere la vulnerabilità nei suoi sistemi operativi più vecchi e non supportati. Sebbene questo sia stato un passo insolito per Microsoft, l'azienda ha ritenuto necessario proteggere gli utenti da WannaCry.

Molte persone non hanno pagato il riscatto. I ricercatori hanno scoperto che il virus WannaCry era stato rilasciato prima che fosse completamente pronto. Di conseguenza, i criminali informatici non potevano determinare chi avesse pagato il riscatto e ripristinare l'accesso ai file crittografati. Inoltre, le agenzie governative e le forze dell'ordine si sono rese conto che pagare i criminali informatici non fa altro che incoraggiarli a creare altri ransomware senza garantire il ripristino dei dati anche in caso di pagamento.

WannaCry è ancora una minaccia?

Sfortunatamente, WannaCry sta ancora influenzando i computer nel 2023. Molti esperti di sicurezza ritengono che, nonostante gli effetti devastanti di WannaCry, non siano stati apportati miglioramenti duraturi alla sicurezza informatica. Molte aziende utilizzano ancora sistemi operativi Microsoft più vecchi e non hanno aggiornato il software con le patch necessarie per prevenire WannaCry. Le aziende non hanno formato i dipendenti a riconoscere le e-mail di phishing o gli attacchi di social engineering. Molte aziende non hanno ancora installato sistemi di backup sicuri, credendo erroneamente che non accadrà mai nulla.

Strategie di mitigazione del ransomware

Se da un lato gli attacchi ransomware sono aumentati notevolmente negli ultimi anni, come dimostra il 2024 Ransomware Trends su questi attacchi, dall'altro le strategie di mitigazione sono migliorate.

Uno dei modi migliori per proteggersi dagli attacchi ransomware è impiegare una forza lavoro addestrata a riconoscere i segnali. I dipendenti dovrebbero essere formati per individuare le e-mail di phishing contenenti allegati pericolosi. Un esperto di computer ha osservato: "Se può scegliere tra i pinguini danzanti e la sicurezza informatica, la gente sceglierà sempre i pinguini danzanti". Non tutti i ransomware sono worm di rete; la maggior parte dei ransomware dipende dal download dell'applicazione dannosa da parte degli utenti.

I dipendenti dovrebbero anche imparare a riconoscere le pratiche di social engineering, che sfruttano e-mail dall'aspetto ufficiale provenienti da presunte organizzazioni governative o di polizia per incoraggiare gli utenti a scaricare gli allegati.

Altri strumenti di mitigazione includono sistemi di backup sicuri come quelli disponibili da Veeam, che proteggeranno i tuoi documenti più importanti e ti consentiranno di ripristinare i dati in poche ore, se non minuti.

Come prevenire WannaCry

Esistono diversi modi per impedire a WannaCry di infettare il computer o la rete:

• Aggiorna il sistema in modo che includa le patch più recenti
• Installa un software dedicato che blocca il ransomware
• Blocca la porta 445 per una maggiore sicurezza. WannaCry utilizza la porta 445 per molte delle sue comunicazioni, il che lo aiuta a iniziare a crittografare i file
• Utilizza sistemi di backup sicuri per proteggere i tuoi dati più importanti

Come rilevare WannaCry

Forse il modo migliore per rilevare se WannaCry è sulla tua rete è controllare i log del tuo computer e il traffico di rete. In primo luogo, è necessario disattivare SMBv1, se ancora presente sui computer. SolarWinds offre un'introduzione su come utilizzare i log del server per rilevare WannaCry. Osserva la creazione di file e il traffico in uscita sulla porta 445 (uno dei motivi per cui dovresti bloccare questa porta).

Come rimuovere il malware WannaCry

Microsoft offre ora uno strumento di rimozione del software dannoso. Il sito di recensioni di software Geek's Advice ha anche una guida su come rimuovere manualmente il software. Tuttavia, può essere difficile e non dovrebbe essere fatto da chiunque non abbia familiarità con i sistemi informatici.

Come può aiutare Veeam

Sebbene esistano diversi modi per impedire al virus WannaCry e ad altri ransomware di infettare le tue reti, la tua ultima e migliore difesa è un sistema di backup sicuro. Veeam Ransom Protection è sicuro per concezione. Disporre di un backup affidabile può fare la differenza tra l'essere rapidamente operativi dopo un attacco e non pagare un centesimo ai criminali informatici, oppure rimanere inattivi per lungo tempo e pagare un salato riscatto.