WannaCry è il nuovo ransomware all'attacco dei sistemi Windows

Ha il nome Wanna Decrypter ma in queste ore è meglio noto come WannaCry, voglio piangere, il nuovo ransomware che dalla giornata di ieri ha caratterizzato le discussioni sul web e si sta propagando come un problema che abbiamo purtroppo già visto evidenziarsi in passato con altri episodi di questo tipo.

Il ransomware blocca il sistema sul quale è stato installato, rendendone impossibile l'utilizzo e bloccandone l'accesso ai dati salvati sino a quando non viene attivata una procedura di sblocco basata sul pagamento di una somma. Per analogia potremmo dire che si tratti di un rapimento con riscatto, tutto che avviene in un contesto digitale. L'importo è inizialmente stato pari a 300 dollari, da inviare con l'equivalente in Bitcoin, ma alcuni report indicano come la cifra sia nel frattempo aumentata sino a 600 dollari.

Una volta infettato il sistema il ransomware installa una serie di programmi, aggiungendosi al registro di Windows così che sia sempre attivo ad ogni riavvio della macchina. Infetta i dati, andando a coinvolgere anche periferiche di storage collegate come hard disk esterne e chiavette USB; va a intervenire anche sui volumi immagine del sistema operativo precedentemente creati, bloccando l'accesso alle utility di riparazione del sistema. Di fatto, quindi, rende del tutto inutilizzabile il sistema richiedendo all'utilizzatore una somma di denaro per lo sblocco e riprenderne possesso.

Cuore di questo attacco informatico è lo sfruttamento di una falla presente nell'SMB Server del sistema operativo Windows, già evidenziata da Microsoft e aggiornata con il proprio security update rilasciato nel mese di marzo. La diffusione di questo nuovo ransomware è quindi stata largamente facilitata dalla connessione al web di numerosi sistemi che non sono costantemente tenuti aggiornati, e che quindi non integrano i fix a problematiche di sicurezza che periodicamente si possono presentare. Al momento attuale non ci sono dati specifici a riguardo ma non è difficile immaginare che molti dei sistemi infettati siano basati su sistema operativo Windows XP, ancora molto popolare in ambienti pubblici e che non è più supportato con patch di sicurezza da Microsoft da oltre un anno.

Fonte: Kaspersky Lab

Il ransomware si è propagato inizialmente in Spagna e Gran Bretagna, colpendo soprattutto PC utilizzati in ambienti di lavoro e luoghi pubblici. Significativo ad esempio che in Gran Bretagna sia proliferato all'interno degli ospedali, minandone largamente l'operatività avendone mandato in blocco i sistemi informatici. Si è diffuso anche in Italia, per quanto il numero di attacchi rilevati sia circoscritto.

WannaCry è basato sui due exploit EternalBlue e DoublePulsar, provenienti da una serie di utility in possesso dell'NSA americano e che sono entrati nelle mani di hacker recentemente. Gli exploit sono da tempo attivi ma solo nel mese di marzo sono stati bloccati da sistema operativo con un aggiornamento rilasciato da Microsoft per i sistemi operativi che sono al momento attuale coperti dagli update di sicurezza.

Si consiglia di verificare di aver aggiornato il proprio sistema operativo Windows con le varie patch di sicurezza e gli update rilasciati dall'azienda, e nel caso installare la specifica patch accessibile a questo indirizzo dal sito Microsoft. Resta sempre valido il consiglio, spesso dato per scontato ma che è bene ricordare, di utilizzare un antivirus sul proprio sistema che sia aggiornato.