L'attacco ransomware WannaCry si è verificato il 12 maggio 2017 e ha colpito più di 200.000 computer. WannaCry ha sfruttato una vulnerabilità non corretta per diffondersi nelle reti di tutto il mondo.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
L'attacco ransomware WannaCry* è stato un grave incidente di sicurezza che ha colpito le organizzazioni di tutto il mondo. Il 12 maggio 2017, il worm ransomware WannaCry si è diffuso in oltre 200.000 computer in più di 150 paesi. Tra le vittime più note figurano FedEx, Honda, Nissan e il Servizio Sanitario Nazionale (NHS) del Regno Unito, quest'ultimo costretto a dirottare alcune delle sue ambulanze verso altri ospedali.
A poche ore dall'attacco, WannaCry è stato temporaneamente neutralizzato. Un ricercatore di sicurezza ha scoperto un "kill switch" che essenzialmente disattivava il malware. Tuttavia, molti computer interessati sono rimasti crittografati e inutilizzabili fino a quando le vittime non hanno pagato il riscatto o sono state in grado di invertire la crittografia.
WannaCry si è diffuso utilizzando un exploit di vulnerabilità chiamato "EternalBlue". La National Security Agency (NSA) degli Stati Uniti aveva sviluppato questo exploit, presumibilmente per uso interno, ma è stato rubato e reso pubblico da un gruppo chiamato Shadow Brokers dopo che la NSA stessa era stata compromessa. EternalBlue funzionava solo su vecchie versioni di Microsoft Windows non aggiornate, ma c'erano abbastanza macchine che eseguivano tali versioni da consentire la rapida diffusione di WannaCry.
*Il ransomware è un software dannoso che blocca file e dati tramite crittografia e li trattiene a scopo di riscatto.
Nel campo della sicurezza, un worm è un programma software dannoso che si diffonde automaticamente su più computer in una rete. Un worm sfrutta le vulnerabilità del sistema operativo per passare da un computer all'altro, installando copie di se stesso su ogni computer.
Immagina un worm come un ladro che si aggira in un centro commerciale per controllare che le porte non siano chiuse a chiave. Una volta che il ladro ne ha trovato una, immagina che possa creare un duplicato di sé stesso che rimanga all'interno dell'ufficio non chiuso a chiave, ed entrambe le versioni continuino la loro ricerca di porte non chiuse a chiave.
La maggior parte dei worm non contiene ransomware. Il ransomware si diffonde solitamente tramite e-mail dannose, compromissione delle credenziali, botnet o exploit di vulnerabilità altamente mirati (un esempio di quest'ultimo è Ryuk). WannaCry era unico perché non solo combinava un ransomware con un worm, ma sfruttava anche una vulnerabilità particolarmente potente, creata dalla NSA, che consentiva la creazione di worm.
Gli Shadow Brokers sono un gruppo di malintenzionati che hanno iniziato a divulgare al pubblico strumenti malware ed exploit zero-day nel 2016. Si sospetta che abbiano acquisito una serie di exploit sviluppati dalla NSA, probabilmente a causa di un attacco interno all'agenzia. Il 14 aprile 2017, gli Shadow Brokers divulgarono l'exploit EternalBlue che WannaCry avrebbe poi utilizzato.
Microsoft ha rilasciato una patch per EternalBlue il 14 marzo, un mese prima che Shadow Brokers la facesse trapelare, ma al momento dell'attacco WannaCry molti computer erano ancora privi di patch.
Alla fine del 2017, gli Stati Uniti e il Regno Unito hanno annunciato che dietro WannaCry c'era il governo della Corea del Nord. Tuttavia, alcuni ricercatori sulla sicurezza contestano questa attribuzione. Secondo alcuni, WannaCry potrebbe essere stato il lavoro del gruppo Lazarus con sede in Corea del Nord, senza provenire direttamente dal governo della Corea del Nord. Altri suggeriscono che gli indizi sulla paternità del malware potrebbero essere stati piazzati lì per attribuire la colpa ad aggressori con base in Corea del Nord, e che WannaCry potrebbe provenire da un'altra regione.
Il giorno dell'attacco, un blogger e ricercatore specializzato in sicurezza di nome Marcus Hutchins ha iniziato a sottoporre a reverse engineering il codice sorgente di WannaCry. Scoprì che WannaCry includeva una funzione insolita: prima di essere eseguito, interrogava il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Questo sito Web non esisteva.
Quindi, ha registrato il dominio. (Costava 10,69 dollari.)
Dopo che Hutchins lo fece, le copie di WannaCry continuarono a diffondersi, ma smisero di essere eseguite. In pratica, WannaCry si è spento da solo non appena ha iniziato a ricevere una risposta da iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Sebbene non si possano conoscere con certezza le motivazioni degli autori di WannaCry, si ipotizza che questa funzione di query di dominio sia stata inclusa in WannaCry per consentire al ransomware di verificare se si trovava all'interno di un sandbox.
Una sandbox è uno strumento anti-malware. È una macchina virtuale che funziona separatamente da tutti gli altri sistemi e reti. Fornisce un ambiente sicuro per eseguire file non attendibili e vedere cosa fanno.
Una sandbox non è effettivamente connessa a Internet. Ma le sandbox mirano a imitare il più possibile un computer reale, quindi potrebbero generare una risposta falsa a una query rivolta a un determinato dominio dal malware. Di conseguenza, un modo in cui il malware potrebbe verificare se si trova all'interno di una sandbox è inviare una query a un dominio falso. Se riceve una risposta "reale" (generata dalla sandbox), può presumere di trovarsi in una sandbox e spegnersi in modo che la sandbox non lo rilevi come dannoso.
Tuttavia, se il malware invia la sua query di prova a un dominio codificato, può essere indotto a credere di trovarsi sempre in una sandbox se qualcuno registra il dominio. Questo potrebbe essere quello che è successo con WannaCry: copie di WannaCry sparse per il mondo sono state ingannate e hanno pensato di trovarsi all'interno di una sandbox, spegnendosi automaticamente. (Una soluzione migliore dal punto di vista dell'autore del malware sarebbe quella di interrogare un dominio randomizzato, diverso ogni volta: in questo modo, le probabilità di ottenere una risposta dal dominio esterno a una sandbox sarebbero prossime allo zero.)
Un'altra possibile spiegazione è che la copia di WannaCry diffusa in tutto il mondo fosse incompleta. Gli autori di WannaCry potrebbero aver codificato quel dominio come segnaposto, con l'intenzione di sostituirlo con l'indirizzo del loro server di comando e controllo (C&C) prima di rilasciare il worm. Oppure potrebbero aver avuto l'intenzione di registrare loro stessi il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. (Il filtro DNS o il filtro URL avrebbero forse potuto bloccare le query a quel dominio, ma la maggior parte delle organizzazioni non sarebbe stata in grado di implementare questa misura di sicurezza in tempo.)
Indipendentemente dal motivo, è stata una fortuna che un'azione così semplice abbia potuto salvare i computer e le reti di tutto il mondo da ulteriori infezioni.
Si è scoperto che prima di iniziare a lavorare e scrivere sul blog come ricercatore sulla sicurezza, Hutchins aveva trascorso anni frequentando forum di malware sul dark web, creando e vendendo il proprio malware. Pochi mesi dopo l'incidente di WannaCry, l'FBI arrestò Hutchins a Las Vegas, Nevada, per aver creato Kronos, un malware bancario.
La versione di WannaCry rilasciata nel 2017 non funziona più, a causa del dominio kill switch di Hutchins. Inoltre, è disponibile una patch per la vulnerabilità EternalBlue sfruttata da WannaCry a partire da marzo 2017.
Tuttavia, gli attacchi WannaCry continuano a verificarsi. A marzo 2021, WannaCry utilizzava ancora la vulnerabilità EternalBlue, il che significa che erano a rischio solo i sistemi Windows estremamente vecchi e obsoleti. Nelle versioni più recenti di WannaCry è stata rimossa la funzionalità kill switch presente nella versione originale. Si consiglia vivamente di aggiornare immediatamente i sistemi operativi e di installare gli aggiornamenti di sicurezza.
Sebbene la versione originale di WannaCry non sia più attiva, dall'attacco del maggio 2017 si possono trarre diversi insegnamenti fondamentali:
Scopri di più su altri ceppi di ransomware: