Come sicuramente tutti ormai sanno, in questi giorni c'è stato un forte attacco informatico a strutture importanti di tutto il mondo, tramite un Malware chiamato Wannacry (denominato da ESET: Win32/Filecoder.WannaCryptor), come nome deriva dalla contrazione di "Wanna Decrypt0r 2.0" poi diventato WCry o Wanna Cry, letteralmente Voglio Piangere e appartenente alla categoria dei RansomWare, cioè un tipo di Malware che Cripta i file del Computer attaccato e chiede un Riscatto (= Ransom inglese) per poterli decriptare; in questo caso il riscatto era di circa 300$, da pagare in BitCoin che poi sale a 600$ se non viene pagato entro un certo tempo.
Come tutti gli altri Ransomware anche Wannacry si diffonde tramite email, probabilmente tramite una finta fattura, spingendo l'utente del Computer ad aprire l'allegato senza verificare l'attendibilità o la provenienza. Molto probabilmente lo stesso allegato non è realmente un Malware ma solo un "Downloader" che prima scarica il Ransomware e poi esegue infettando il Computer.
Però Wannacry è risultato da subito un Ransomware differente rispetto ai suoi predecessori; come prima cosa pare che gli sviluppatori del "Virus" (non mi piace e non devono essere chiamati Hacker) abbiano puntato a grandi strutture (Ospedali, Gestori di Telefonia, Gas, Energia Elettrica, Banche, Università etc), probabilmente selezionando in modo specifico gli indirizzi email a cui inviare il loro "Virus". Con i Ransomware precedenti però questo portava a compromettere solo il Computer infetto e, al massimo, periferiche USB o percorsi di rete in cui il PC poteva scrivere. WannaCry ha fatto però molto di più, perché gli sviluppatori hanno incluso nel suo codice le "istruzioni" per sfruttare una vulnerabilità di SMB (il sistema di condivisione dei file e stampanti usato da MS Windows). Questa vulnerabilità è stata scoperta dalla NSA (l'Agenzia di Sicurezza Americana) con il nome NSA EternalBlue ed è stata stata tenuta segreta fino a quando non è stata rubata e quindi diffusa a tutto il mondo da altri Hacker indipendenti chiamati The Shadow Brothers (I Fratelli dell’Ombra).
Non solo... dopo varie analisi degli esperti di sicurezza che stanno studiando il virus pare che la diffusione possa avvenire anche da una rete all'altra se queste sono esposte ad internet, per capirci senza che sia necessario l'intervento di un utente che fa un clic inappropriato.
Microsoft, dopo la diffusione da parte degli Hacker ha scoperta la vulnerabilità, ha rilasciato a Marzo del 2017 una Patch (denominata MS17-010) per i vari Sistemi Operativi che ancora ricevono il supporto (da Windows 7 in su, comprese le versioni Server).
Perché allora c'è stata questa enorme diffusione mettendo in ginocchio tutte le strutture attaccate? Semplice: perché TUTTE QUESTE STRUTTURE NON HANNO INSTALLATO LA PATCH MS17-010. Se lo avessero fatto, solo il PC compromesso avrebbe preso il virus e non tutta la rete locale a cui è connesso. E anche qui mi chiedo... che tipo di Antivirus usano? Probabilmente uno che NON implementa un sistema AntiRansomware, ovvero che si accorge che un programma sta criptando dei file e lo blocca in modo preventivo (cosa che fa ad esempio ESET NOD32 che, tra l'altro dalla versione 10 integra questa funzione nel core del motore di scansione). Non solo... mi chiedo che tipo di Formazione Informatica fanno alle persone che lavorano in queste strutture? Non insegnano a diffidare da determinati tipi di email o di allegati?
Tutto questo mette in luce una drammatica verità: MANCA UNA CULTURA INFORMATICA DI BASE, che deve includere ovviamente anche la SICUREZZA INFORMATICA, ovvero occorre insegnare agli utenti (non solo a quelli che lavorano in grandi strutture, ma anche a quelli che usano il PC solo a Casa) a:
- Mantenere il sistema operativo e tutti i programmi aggiornati. Gli aggiornamenti nel 90% dei casi risolvono problemi di sicurezza gravi;
- Usare un buon Antivirus (e per esperienza con vari clienti, quelli gratuiti NON sono all'altezza... al massimo possono essere usati da utenti esperti);
- Tener presente che anche il Miglior Antivirus può sbagliare e che il Primo Antivirus è quella cosa grigia che tutti (si spera) abbiamo tra le orecchie ;-) ;
- Fare Backup Frequenti (almeno una volta a settimana... al peggio una volta al mese) e fare in modo che siano OffLine, cioè al sicuro da eventuali infezioni che possa prendere il PC durante il suo utilizzo;
- Diffidare dalle email con allegato a prescindere, verificando bene il mittente (che può essere falsificato) e imparando a riconoscere i domini prima di cliccare su un Link, e solo in caso di assoluta certezza aprire l'allegato. In caso di dubbi si può fare un controllo preventivo sul sito https://www.virustotal.com/ che permette di controllare il file con una cinquantina di Antivirus differenti;
- Fare Backup Frequenti. Si l'ho già scritto... ma so, per esperienza, che con qualcuno occorre insistere molto su questo punto.
Sinceramente temevo che questa assenza di cultura informatica fosse una prerogativa Italiana, mentre pare che l'attacco in Italia sia stato decisamente contenuto e questo, anche se mi fa piacere, è una magra consolazione.
Per far capire quanto sia grave questo tipo di attacco che ha sfruttato la Vulnerabilità di Windows, in via del tutto eccezionale Microsoft ha rilasciato una patch anche per i sistemi operativi che non sono più supportati come Winows XP, Vista, 8.0 e 2003 Server: quindi se avete un sistema non più supportato, ecco il link per scaricare le patch dal sito di Microsoft: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
Una curiosità: un ricercatore di Sicurezza, analizzando il codice del Malware, ha scoperto che prima di sferrare l'attacco, controllava l'esistenza di un dominio che però era inesistente (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Ha deciso quindi di registrarlo, spendendo poco più di 10 $ e da quel momento il Malware ha smesso di attaccare. Probabilmente era stato pensato dagli sviluppatori come una sorta di interruttore di emergenza per bloccare l'attività del Ransomware. Lo sviluppatore ha detto che non immaginava che la registrazione del dominio portasse al blocco del Malware e che al sito arrivavano 5/6000 richieste al secondo, ovvero che ogni secondo circa 6000 computer infettati e stavano cercando l'esistenza di quel dominio per sapere se procedere con la criptazione oppure no.
Cosa cambierà nel Futuro? Probabilmente poco o niente. Gli utenti continueranno a NON aggiornare i sistemi, a NON usare un buon Antivirus a NON fare i Backup e a Cliccare su tutti gli allegati o link possibili... e quando l'Antivirus di turno segnalerà che un file che vogliono aprire è infetto e giustamente lo bloccano... ecco che cercheranno di disabilitare l'antivirus (Vi pare assurdo? Anche a me, ma è capitato anche questo).
Forse qualcuno penserà che occorra una legge che imponga delle misure minime di sicurezza, come fare gli aggiornamenti del sistema operativo almeno una volta ogni 6 o 12 mesi (a seconda del tipo di dati che si trattano) e se questo non è più aggiornato NON possa più essere usato, avere un antivirus aggiornato, fare i backup regolarmente, istruire il personale ad usare password sicure, non riconducibili e variarle almeno una volta ogni 3 o 6 mesi (a seconda del tipo di dati che si trattano), analizzare i rischi sulla sicurezza etc. Ecco tutto questo esiste già, almeno in Italia, ed è presente nell'Allegato B della tanto criticata Legge sulla Privacy, più precisamente nota come Dlg. 196/2003. In Europa c'è certamente qualcosa di simile ma ogni paese ha la propria normativa almeno fino a quando non entrerà in vigore il GDPR cioè la nuova normativa sulla Privacy, un testo unico a livello Europeo.
Per ulteriori approffondimenti potete visitare i seguenti Link
Il Blog di Eset: https://blog.eset.it/2017/05/attacco-in-corso-del-ransomware-jaffwannacryptor/
Il disinformatico: http://attivissimo.blogspot.it/2017/05/wanacryptor-attacco-ransomware.html
Security Info: http://securityinfo.it/2017/05/13/wanacry-ransomware-bloccato-microsoft-pubblica-patch/