Dal 12 Maggio una nuova variante del ransomware classificato da Symantec come facente parte della famiglia Ransom.CryptXXX si è fatto vivo e ha colpito numerose organizzazioni nel mondo.
Un ransomware è un software malevolo che colpisce una macchina criptando i files presenti sul disco e chiedendo un riscatto per la decriptazione.
Il riscatto deve essere pagato in bitcoin, perchè è la moneta “libera” e “irrintracciabile” con la quale chi fa questi software malevoli vuole essere pagato.
Di ransomware ne abbiamo visti molti dal 2016, tra cui il più famoso il CryptoLocker. Il WannaCry (che tradotto significa vorreipiangere … mai nome fu più azzeccato) arriva via email come gli altri ransomware e usa social engineering per entrare nel pc (quindi un’email che sembra vera anche se non lo è. Questa porta l’utente ad aprirla e ad aprire il relativo allegato infetto).
Dopodichè come tutti i ransomware crypta i files sulla macchina colpita e attacca la rete cercando cartelle condivise a cui accedere per poterle cryptare.
La vera novità sta nel fatto che può infettare altre macchine sfruttando due bug di windows 2003, xp, 7, 8, 8.1, 2008 corretti con le patch mensili rilasciate a Marzo. Può attaccare anche i server, che prima erano immuni in massima parte ai ransomware (se non per le cartelle condivise) e che ora possono venire colpiti brutalmente e cryptati a loro volta (backup inclusi).
Chi non si è aggiornato è quindi attaccabile. Microsoft ha rilasciato le patch anche per XP e Windows 2003 (che non sono più aggiornati a livello di sicurezza da mesi, ovvero da quando Microsoft ha chiuso il periodo di manutenzione, rispettivamente 2014 e 2015), a dimostrazione di quanto la questione sia preoccupante.
Tutte le patch le trovate qui: patch.
Con WannaCry sono state unite due armi: la capacità di muoversi in rete del virus (attaccando altre macchine mediante un bug come farebbe un comune raffreddore) e la capacità di cryptare tipica dei ransomware.
Gli attacchi che hanno avuto eco maggiore sono stati verso l’NHS (il sistema medico UK) e Renault che ha dovuto spegnere alcuni impianti.
L’attacco è iniziato nel pomeriggio di venerdì, quindi domani vedremo gli effetti all’accensione dei pc di chi venerdì non era al lavoro o non aveva ancora letto le email.
Quindi raccomandiamo attenzione:
- verificate di avere il pc aggiornato
- buttate ogni email su cui avete dubbi
- se avete un amministratore di sistema, sperate che tutti i sistemi siano aggiornati altrimenti domani potrebbe essere un giorno molto complicato
Ovviamente da questo non sono escluse le banche, le istituzioni finanziarie, e i mercati che sono completamente computerizzati.
Il malware è arrivato alla versione 2.0 e la battaglia è ancora in evoluzione tra attaccanti (il gruppo organizzato che ha realizzato il malware) e difensori (symantec, mcafee, etc etc) che stanno attuando le contromisure.
Buona fortuna, e buona prima puntata di quello che è il nuovo scenario dei cyber attacchi su vasta scala.
