Wannacry ransomware attack: 3 cose cruciali da sapere

Gli attacchi di ransomware, denominati WannaCry, sono stati segnalati in tutto il mondo dagli esperti di sicurezza informatica venerdì e sono stati emessi più avvisi per implicare un aumento delle misure di sicurezza su dispositivi connessi al Web, poiché si prevede una seconda ondata di attacchi questa settimana.

Gli attacchi di ransomware - un trucco hacker vecchio di dieci anni - hanno colpito principalmente Russia, Ucraina, Spagna, Regno Unito e India.

Altri paesi tra cui Stati Uniti, Brasile, Cina, tra gli altri da Nord America, America Latina, Europa e Asia sono stati colpiti dall'attacco ransomware.

Il ransomware crittografa i file su un dispositivo utilizzando l'estensione ".wcry" e viene avviato tramite un'esecuzione di codice remoto SMBv2 (Server Message Block versione 2).

Leggi anche: Cos'è il Ransomware e come proteggerlo? e gli smartphone sono vulnerabili all'attacco di WannaCry Ransomware?

Il team di ricerca e analisi globale di Kaspersky Lab ha sottolineato che "i computer Windows senza patch che espongono i loro servizi SMB possono essere attaccati da remoto" e "questa vulnerabilità sembra essere il fattore più significativo che ha causato l'epidemia".

Il gruppo di hacker Shadow Brokers è responsabile di rendere disponibile il software dannoso per eseguire questo attacco su Internet il 14 aprile.

Quanto è diffuso l'attacco?

Il pieno impatto di questo attacco è ancora sconosciuto poiché gli esperti di sicurezza informatica si aspettano ulteriori ondate dell'attacco per colpire più sistemi.

Secondo un rapporto del New York Times, l'attacco ha assunto il controllo di oltre 200.000 computer in oltre 150 paesi.

Sono state colpite società e agenzie governative tra cui ministeri russi, FedEx, Deutsche Bahn (Germania), Telefonica (Spagna), Renault (francese), Qihoo (Cina) e il Servizio sanitario nazionale del Regno Unito.

Il team spagnolo di risposta alle emergenze informatiche (CCN-CERT) ha anche richiesto un allarme elevato nel paese in quanto afferma che le organizzazioni potrebbero essere state colpite dal ransomware.

“Il software dannoso WannaCrypt si è diffuso rapidamente a livello globale ed è tratto dagli exploit rubati dalla NSA negli Stati Uniti. Microsoft ha rilasciato un aggiornamento di sicurezza per correggere questa vulnerabilità, ma molti computer sono rimasti senza patch a livello globale ", ha affermato Microsoft.

Finora sono stati interessati i seguenti software:

• Windows Server 2008 per sistemi a 32 bit
• Windows Server 2008 per sistemi a 32 bit service pack 2
• Windows Server 2008 per sistemi basati su Itanium
• Windows Server 2008 per sistemi Itanium Service Pack 2
• Windows Server 2008 per sistemi basati su x64
• Windows Server 2008 per sistemi x64 service pack 2
• Windows Vista
• Service Pack 1 per Windows Vista
• Windows Vista Service Pack 2
• Windows Vista x64 Edition
• Service Pack 1 per Windows Vista x64 Edition
• Service Pack 2 per Windows Vista x64 Edition
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 e R2
• Windows 10
• Windows Server 2016

In che modo influisce sui sistemi?

Il malware crittografa i file contenenti estensioni dell'ufficio, archivi, file multimediali, database e-mail e-mail, codice sorgente dello sviluppatore e file di progetto, file grafici e di immagini e molto altro.

Viene installato anche uno strumento di decrittografia insieme al malware che aiuta a riscattare $ 300 di riscatto richiesto in Bitcoin e decodifica i file una volta effettuato il pagamento.

Lo strumento decryptor esegue due timer per il conto alla rovescia: un timer di 3 giorni, dopo di che viene indicato che il riscatto aumenterà e un timer di 7 giorni che indica il tempo rimanente prima che i file vengano persi per sempre.

Dato che lo strumento software ha la capacità di tradurre il suo testo in più lingue, è evidente che l'attacco è mirato a livello globale.

Al fine di garantire che lo strumento decryptor venga trovato dall'utente, il malware modifica anche lo sfondo del PC interessato.

Come stare al sicuro?

• Assicurati che il database del tuo software antivirus sia aggiornato e che protegga il tuo sistema in tempo reale ed esegui una scansione.
• Se viene rilevato il malware: Trojan.Win64.EquationDrug.gen, assicurarsi che venga messo in quarantena ed eliminato e riavviare il sistema.
• Se non lo hai già fatto, si consiglia di installare la patch ufficiale di Microsoft - MS17-010 - che mitiga la vulnerabilità SMB sfruttata nell'attacco.
• Puoi anche disabilitare SMB sul tuo computer usando questa guida di Microsoft.
• Le organizzazioni possono isolare le porte di comunicazione 137 e 138 UDP e le porte 139 e 445 TCP.

I sistemi con sede negli Stati Uniti sono stati assicurati accidentalmente

Un ricercatore di sicurezza britannico di 22 anni ha accidentalmente bloccato il malware dalla diffusione alle reti negli Stati Uniti quando ha acquistato il dominio kill switch del malware che non era stato ancora registrato.

Non appena il sito è stato attivo, l'attacco è stato chiuso. Puoi leggere il suo rapporto completo qui su come ha svelato il kill switch per il malware e alla fine lo ha spento.

Leggi anche: Questo critico difetto di sicurezza di Android rimane non risolto da Google.

“Esiste già un'altra variante del ransomware che non ha un kill switch, rendendo difficile il suo contenimento. Ha già iniziato a infettare i paesi in Europa ", ha affermato Sharda Tickoo, Responsabile tecnico, Trend Micro India.

Non è ancora chiaro chi sia responsabile dell'attacco e le speculazioni hanno puntato su Shadow Brokers - che sono anche responsabili del rilascio del malware online - o su più organizzazioni di hacking.

Guarda il video di GT Hindi per Wannacry / Wannacrypt Ransomware di seguito.