WannaCry è il nuovo ransomware all'attacco dei sistemi Windows

WannaCry è il nuovo ransomware all'attacco dei sistemi Windows

Una falla di sicurezza presente nei sistemi operativi Windows, aggiornata da Microsoft con una patch a marzo, colpisce e blocca molti PC a livello globale andando a interessare soprattutto alcuni ospedali in Gran Bretagna

di Paolo Corsini pubblicata il , alle 08:06 nel canale Sicurezza
MicrosoftWindows
 

Ha il nome Wanna Decrypter ma in queste ore è meglio noto come WannaCry, voglio piangere, il nuovo ransomware che dalla giornata di ieri ha caratterizzato le discussioni sul web e si sta propagando come un problema che abbiamo purtroppo già visto evidenziarsi in passato con altri episodi di questo tipo.

Il ransomware blocca il sistema sul quale è stato installato, rendendone impossibile l'utilizzo e bloccandone l'accesso ai dati salvati sino a quando non viene attivata una procedura di sblocco basata sul pagamento di una somma. Per analogia potremmo dire che si tratti di un rapimento con riscatto, tutto che avviene in un contesto digitale. L'importo è inizialmente stato pari a 300 dollari, da inviare con l'equivalente in Bitcoin, ma alcuni report indicano come la cifra sia nel frattempo aumentata sino a 600 dollari.

wannacry_02.jpg

Una volta infettato il sistema il ransomware installa una serie di programmi, aggiungendosi al registro di Windows così che sia sempre attivo ad ogni riavvio della macchina. Infetta i dati, andando a coinvolgere anche periferiche di storage collegate come hard disk esterne e chiavette USB; va a intervenire anche sui volumi immagine del sistema operativo precedentemente creati, bloccando l'accesso alle utility di riparazione del sistema. Di fatto, quindi, rende del tutto inutilizzabile il sistema richiedendo all'utilizzatore una somma di denaro per lo sblocco e riprenderne possesso.

Cuore di questo attacco informatico è lo sfruttamento di una falla presente nell'SMB Server del sistema operativo Windows, già evidenziata da Microsoft e aggiornata con il proprio security update rilasciato nel mese di marzo. La diffusione di questo nuovo ransomware è quindi stata largamente facilitata dalla connessione al web di numerosi sistemi che non sono costantemente tenuti aggiornati, e che quindi non integrano i fix a problematiche di sicurezza che periodicamente si possono presentare. Al momento attuale non ci sono dati specifici a riguardo ma non è difficile immaginare che molti dei sistemi infettati siano basati su sistema operativo Windows XP, ancora molto popolare in ambienti pubblici e che non è più supportato con patch di sicurezza da Microsoft da oltre un anno.

wannacry_distribution.jpg
Fonte: Kaspersky Lab

Il ransomware si è propagato inizialmente in Spagna e Gran Bretagna, colpendo soprattutto PC utilizzati in ambienti di lavoro e luoghi pubblici. Significativo ad esempio che in Gran Bretagna sia proliferato all'interno degli ospedali, minandone largamente l'operatività avendone mandato in blocco i sistemi informatici. Si è diffuso anche in Italia, per quanto il numero di attacchi rilevati sia circoscritto.

WannaCry è basato sui due exploit EternalBlue e DoublePulsar, provenienti da una serie di utility in possesso dell'NSA americano e che sono entrati nelle mani di hacker recentemente. Gli exploit sono da tempo attivi ma solo nel mese di marzo sono stati bloccati da sistema operativo con un aggiornamento rilasciato da Microsoft per i sistemi operativi che sono al momento attuale coperti dagli update di sicurezza.

Si consiglia di verificare di aver aggiornato il proprio sistema operativo Windows con le varie patch di sicurezza e gli update rilasciati dall'azienda, e nel caso installare la specifica patch accessibile a questo indirizzo dal sito Microsoft. Resta sempre valido il consiglio, spesso dato per scontato ma che è bene ricordare, di utilizzare un antivirus sul proprio sistema che sia aggiornato.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

177 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy13 Maggio 2017, 09:20 #1
a che serve esattamente 'sto SMB server?
è un servizio che (come al solito) microsoft attiva ma che su un client home non serve ad una mazza di niente e che basta disattivare x essere al sicuro? O al limite firewallarlo?

ps: magari l'articolo potrebbe essere un po' + "tecnico"...

edit: non è che è il servizio "Server" (che ho sempre disattivato)? xchè allora posso star tranquillo riguardo alla macchina XP che ogni tanto uso ancora
ma poi, che minchia di policy firewall ha win x permettere l'accesso di default dal web alle condivisioni di file e stampanti sulla rete locale (indipendentemente dal fatto che l'implementazione sia buggata da 15-20 anni)?
igiolo13 Maggio 2017, 09:26 #2
Originariamente inviato da: zappy
a che serve esattamente 'sto SMB server?
è un servizio che (come al solito) microsoft attiva ma che su un client home non serve ad una mazza di niente e che basta disattivare x essere al sicuro? O al limite firewallarlo?

ps: magari l'articolo potrebbe essere un po' + "tecnico"...


sono le share di rete...
nessun servizio inutile direi, semplicemente occorre tenersi aggiornati
zappy13 Maggio 2017, 09:30 #3
Originariamente inviato da: igiolo
sono le share di rete...
nessun servizio inutile direi, semplicemente occorre tenersi aggiornati

beh, se uno ha una "rete" pc+router , è un servizio inutile al 200%
e cmq basta impedire l'accesso dal web alla condivisione...
e chissene dell'aggiornamento, o sbaglio?
AlexSwitch13 Maggio 2017, 09:47 #4
Originariamente inviato da: zappy
beh, se uno ha una "rete" pc+router , è un servizio inutile al 200%
e cmq basta impedire l'accesso dal web alla condivisione...
e chissene dell'aggiornamento, o sbaglio?


Se leggi la storia di SMB e delle sue successive modifiche e declinazioni, via via nel tempo è stato incorporato direttamente negli OS per i servizi di rete basati su un server, più server, o per raggiungere una risorsa di stampa condivisa ( magari anche la stampantina per la famiglia con accesso WiFi ).
Comprensibile quindi il perchè in questo attacco sono stati colpiti gli ospedali ed altre istituzioni: obsolescenza degli OS ( da verificare comunque ) e una struttura di rete di lavoro che prevede dei server e delle risorse condivise.
Sarebbe comunque utile ed interessante capire se anche i servizi di Cloud usino SMB per le loro connessioni....
HackaB32113 Maggio 2017, 09:54 #5
Riassumendo:
1)l'NSA utilizza i soldi dei contribuenti per sviluppare exploit che vengono poi costantemente "trafugati" (venduti?) a "fantomatici gruppi di hacker"(la stessa NSA?) per infettare computer di mezzo mondo
2)Gli utenti non aggiornano i loro sistemi. Vecchia storia ma in questo caso con utenti non parliamo della nonna di Voghera ma di roba tipo il Servizio Sanitario Nazionale inglese (!) o società come FedEX e Telefonica. Allucinante
3)Non mi è chiaro se l'exploit usato facesse parte del leakage compiuto da Shadow Brokers lo scorso agosto. In questo caso sarebbe decisamente responsabile anche Microsoft visto che la falla sarebbe nota da Agosto 2016 e l'update uscito a Marzo 2017

Comunque qualcuno dietro l'account twitter MalwareTech ha "scoperto" che basta registare un dominio per fermare il ransomware (lol)

https://www.theguardian.com/technol...re-cyber-attack
Dumah Brazorf13 Maggio 2017, 10:06 #6
Che succede?
Ieri addirittura ne ha parlato Mentana nel suo tiggi.
Non ho capito se si prende con le solite mail farlocche o entra come/quando ne ha voglia per quella falla nell'smb.
andy4513 Maggio 2017, 10:22 #7
Originariamente inviato da: Dumah Brazorf
Non ho capito se si prende con le solite mail farlocche o entra come/quando ne ha voglia per quella falla nell'smb.


Da quello che ho letto il metodo è sempre lo stesso, la solita mail.
HackaB32113 Maggio 2017, 10:26 #8
il ransomware ha raggiunto anche le ferrovie tedesche ed è apparso sui monitor delle stazioni. Lmao

https://twitter.com/L0gg0l/status/863138067904962560
Eress13 Maggio 2017, 12:04 #9
La domanda è una sola; com'è finito nelle mani degli hacker?
sbaffo13 Maggio 2017, 12:31 #10
scusate il Gomblottismo, ma sembra proprio che l'abbia fatto apposta microsoft per spingere ad aggiornare i vecchi Xp: i bug sono noti da circa un anno, la patch è arrivata un mese o due fa, proprio ora arriva il malware sincronizzato in tutto il mondo in modo da avere risonanza mediatica.... come dire la patch c'è ma voi fessi non l'avete installata, passate a Win 10 che obbliga a installarle.

Comunque le patch a me arrivano anche su xp con una modifica del registro, non so se quella in particolare però.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^