WannaCry, tradotto in italiano come “Voglio piangere”, è un malware ransomware che ha letteralmente fatto piangere il mondo nella primavera del 2017. Secondo le stime, infatti, sono stati oltre 200mila i computer infettati e Kaspersky Lab, firma illustre nel mondo della sicurezza informatica, ha registrato tracce di WannaCry in 74 nazioni, incluse Russia, Cina, India, Egitto, Ucraina e Italia, dove ha bloccato i computer di diversi atenei. Ma c’è chi alza le stime a 99 Paesi.
Uno dei più colpiti, in termini di conseguenze, è stato il Regno Unito dove il virus informatico ha mandato in tilt diversi ospedali. Questo è stato possibile, proprio perché negli ospedali del Regno Unito ci sono ancora molte migliaia di computer con Windows XP. Un’indagine condotta da Motherboard (eseguita precedentemente nel 2016!) aveva rilevato almeno 42 strutture del National Health Service (NHS) che stavano usando XP.
Ma l’attacco di WannaCrypt non ha colpito solo la Gran Bretagna: si registrano attacchi in tutta Europa e nel resto del mondo. Tra gli altri Nissan e Renault in Francia, la società di telecomunicazioni Telefonica, Iberdrola e le banche BBVA e Santander in Spagna, FedEx in USA e molti altri. In Germania sono stati colpiti i computer della Deutsche Bahn (le ferrovie tedesche). In Giappone è toccato a Hitachi, Nissan e East Japan Railway. In Russia colpiti RZD (Russian Railroad), la banca VTB, Megafon. Anche l’Italia entra nell’elenco con l’Università Bicocca a Milano (che a quanto risulta è stata attaccata attraverso una chiavetta USB contenente il malware).
Eppure, nonostante la propagazione quasi a macchia d’olio, WannaCry è stato considerato un flop dal punto di vista economico: l’ammontare dei soldi raccolti dai cybercriminali si aggira intorno ai 100mila dollari. Una cifra non altissima, soprattutto considerato che in genere i malware hanno come obiettivo proprio il pagamento di un riscatto.
Chiunque può vedere qual è stato l’incasso generato dai riscatti pagati per WannaCry. Basta consultare i tre conti in Bitcoin utilizzati dai cybercriminali per farsi pagare. Questo ci serve anche per sfatare una credenza popolare molto diffusa: quella che i pagamenti in Bitcoin non sono tracciati. Lo sono, eccome! Semplicemente non è possibile risalire all’intestatario del conto (a meno che questo non commetta errori).
Sappiamo che nelle richieste di riscatto (300 dollari) erano indicati questi tre conti in Bitcoin nei quali pagare, ecco qui i loro numeri ed i link al sito https://blockchain.info:
- 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
- 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
- 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
È sufficiente accedere ai link e vedere i movimenti dei tre conti, che hanno incassato rispettivamente: 19,98325158, 19,27213777 e 14,68049811 per un totale di circa 54 Bitcoin. Oggi i tre conti sono stati quasi azzerati, ma comunque si capisce che l’incasso è stato molto basso: circa 10 giorni dopo il fatidico 12 maggio 2017 erano stati incassati (al cambio Bitcoin di allora) 106.349,49 dollari (con circa 300 riscatti pagati), un importo comunque sorprendentemente modesto per le dimensioni dell’attacco.
Chi è stato a compiere l’attacco WannaCry?
Inizialmente si è pensato ai “soliti”russi (ma questa volta la Russia è stata uno dei paesi più colpiti), poi anche alla Cina.
Ora il principale indiziato è diventata la Corea del Nord, con il suo gruppo di hacker noti con il nome Lazarus. A sostenerlo sono Symantec e Kaspersky Lab, che hanno rilevato nel codice del malware alcune similitudini con precedenti attacchi: quello alla Banca Centrale del Bangladesh del 2016 (il più grande furto informatico di sempre, 82 milioni di dollari rubati), ma soprattutto quello alla Sony Pictures Entertainment, la casa di produzione attaccata per aver prodotto «The interview», film satirico contro il leader nordcoreano Kim Jong-un.
E probabilmente, alla luce della modesta cifra incassata, l’attacco non è stato fatto per soldi, ma più probabilmente a scopo destabilizzante o dimostrativo.
Cos’è e come funziona WannaCry
WannaCry è un ransomware (un cryptoworm, per essere ancora più specifici), cioè un particolare tipo di malware che rende inaccessibili i dati dei nostri computer e, per ripristinarli, chiede un riscatto da pagare in bitcoin, la moneta elettronica. Il malware colpisce chi ha il proprio computer collegato alla Rete e ha un sistema operativo Windows, dato che il software malevolo si propaga grazie a EternalBlue, un codice della Nsa (l’agenzia per la sicurezza nazionale statunitense), pubblicato online lo scorso aprile dal gruppo hacker Shadow Brokers. Uno strumento che sfrutta la vulnerabilità di un protocollo di condivisione di file di rete, SMB (Server Message Block), usato da sistemi Microsoft Windows.
Ma come avviene la prima infezione? Inizialmente, si pensava che il vettore d’attacco originario fosse la posta elettronica. Successivamente, però, la tesi più accreditata è che il malware si diffonda “attraverso computer vulnerabili esposti su internet con la porta 445. Una volta che un solo computer di una rete locale viene infettato, il malware automaticamente si propaga usando il protocollo SMB”, come si legge nelle raccomandazioni del Cert-EU, l’unità europea per la risposta alle emergenze informatiche, che aggiunge: “è importante menzionare che computer non aggiornati e reti esposte via SMB su internet possono essere infettati direttamente senza il bisogno di altri meccanismi. Basta che siano accesi e accettino connessioni SMB”.
La peculiarità originale di WannaCry, rispetto ad altri ransomware più “classici” è che si tratta di un malware costituito da due componenti che operano in successione:
- Un exploit (trattasi di malware realizzati appositamente per sfruttare una “falla” di un sistema) che sfrutta la vulnerabilità SMBv1 per attaccare il computer obbiettivo.
- Un ransomware vero e proprio che esegue la cifratura dei files.
Secondo Microsoft gli scenari presunti d’attacco sono due (Microsoft parla di scenari “altamente probabili”, senza indicarli come assolutamente certi):
- Tramite le solite email di phishing (contenenti finte fatture, note di credito, bollette, ecc.), o tramite chiavette USB (come successo all’Università Bicocca). Questi sono i vettori d’attacco tipici e più frequenti per la maggior parte dei ransomware.
- Tramite attacco diretto mediante Exploit attraverso il protocollo SMB in macchine non aggiornate.
Quindi – importante esserne consapevoli – se il sistema è affetto dalla citata vulnerabilità, non serve necessariamente l’email di phishing per subire l’attacco. In parole più semplici e banalizzando il concetto: non occorre che siamo noi ad aprire la porta, perché è l’hacker a possedere già la chiave (cioè l’exploit). Una volta entrato in un computer (ne basta uno solo!) di un sistema Windows, WannaCrypt si propaga in modo automatico agli altri computer (anche se non collegati ad Internet) sfruttando le condivisioni di rete SMB, attraverso le porte di comunicazione 139 e 445. Questo spiega la rapidità (insolita) con cui si è diffuso.
Poi – secondo passaggio – esegue una criptazione dei files, usando una crittografia RSA a 2048 bit (quindi assolutamente inattaccabile).
I files crittografati vengono rinominati aggiungendo l’estensione .WNCRY, quindi, per esempio, un file picture.jpg verrà modificato in picture.jpg.WNCRY.
WannaCry provvede inoltre ad eliminare le “Shadows copies” di Windows (per impedirci di recuperare i dati) e va a scrivere in alcune tipiche cartelle di sistema, quali:
- %SystemRoot%
- %SystemDrive%
- %ProgramData%
Altra peculiarità: a causa del tipo di vulnerabilità, il malware riesce ad installarsi anche se l’utente non ha diritti di amministratore, ma è un semplice utente.
Dalla patch MS17-010 all’antivirus: come difendersi da WannaCry
Per proteggersi da WannaCry, le prime cose da fare sono aggiornare sia l’antivirus sia il sistema operativo, dato che questa falla è stata risolta dalla stessa Microsoft con un update che risale a marzo 2017 chiamato MS17-010. In particolare, l’antivirus deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio. È fondamentale tenere presente che se l’antivirus ha il vantaggio di poter “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.
Oltre a ciò il Cert-EU suggerisce di disattivare SMBv1; bloccare il traffico SMB in entrata sulla porta 445, isolare sistemi che potrebbero essere vulnerabili dalla rete; in caso di nuove infezioni, permettere l’accesso delle postazioni ai domini che funzionano da interruttore; e ovviamente fare i backup. In italiano si trovano anche le raccomandazioni tecniche dell’Agenzia per l’Italia Digitale e CERT-PA.
Infine, utile è anche un backup dei dati (o, se già fatto, un aggiornamento), cioè una copia dei propri file. Si può effettuare utilizzando Windows Backup che si trova nel pannello di controllo del nostro pc. Il backup va fatto periodicamente in un hard disk esterno, ad esempio una chiavetta Usb. In questo modo anche se il virus dovesse infettare il pc, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinarli all’occorrenza.
Come verificare l’installazione della patch MS17-010
Per Windows 7 e Windows Server 2008 R2, bisogna controllare tra gli aggiornamenti già installati sul sistema, la presenza delle patch contraddistinte dai seguenti identificativi:
– KB4019264, aggiornamento cumulativo di maggio, 2017-05
– KB4015552, anteprima aggiornamento cumulativo di aprile 2017
– KB4015549, aggiornamento cumulativo di aprile 2017
– KB4012215, aggiornamento cumulativo di marzo 2017
– KB4012212, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)
Se almeno uno qualunque degli aggiornamenti indicati risultasse già presente, il sistema Windows 7 o Windows Server 2008 R2 è adeguatamente protetto. Diversamente, il suggerimento è quello di installare immediatamente almeno il pacchetto KB4012212.
Per Windows 8.1 e Windows Server 2012 R è bene controllare la presenza di almeno una delle seguenti patch:
– KB4019215, aggiornamento cumulativo di maggio, 2017-05
– KB4015553, anteprima aggiornamento cumulativo di aprile 2017
– KB4015550, aggiornamento cumulativo di aprile 2017
– KB4012216, aggiornamento cumulativo di marzo 2017
– KB4012213, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)
Nel caso in cui tutti gli aggiornamenti fossero assenti, si dovrà provvedere subito ad installare almeno il KB4012213.
Di solito Microsoft mette a disposizione degli utenti solo gli aggiornamenti per i sistemi operativi che ancora supporta, cioè Windows 7 – quello più colpito da WannaCry – e seguenti. Ma per via del timore di un nuovo malware nei mesi scorsi l’azienda di Redmond ha fatto un’eccezione includendo anche quelli più datati, come Windows XP e Vista, fermo restando l’invito a passare ai sistemi operativi successivi. Le nuove patch, disponibili qui, risolvono 16 vulnerabilità, 15 delle quali sono considerate critiche dall’azienda.
WanaDecrypt, il metodo per liberare i PC attaccati da WannaCry
Quando il proprio computer è infettato da un malware, in linea di principio non si dovrebbe mai pagare il riscatto. Anche se questo comporta la perdita dei propri dati. Nel caso di WannaCry, un ricercatore francese, Adrien Guinet, afferma di aver trovato il modo di liberare i file cifrati, senza essere costretti a dar soldi ai criminali. Ha chiamato il software WanaDecrypt e ha pubblicato su GitHub il software necessario a svolgere l’operazione. In pratica, il sistema si basa sulla manipolazione delle chiavi crittografiche usate per bloccare i computer durante l’attacco che ha colpito 150 paesi e 200mila sistemi.
“Lo schema di cifratura implementato dal ransomware WannaCry utilizza un meccanismo di crittografia asimmetrica basato su una coppia di chiavi pubblica/privata per la cifratura e decifratura dei file – ha spiegato a Repubblica l’esperto di sicurezza Pierluigi Paganini -. Per la creazione della coppia di chiavi l’algoritmo implementato dal malware utilizza una coppia di numeri primi, noti i quali è quindi possibile risalire alla chiave per decifrare i file. Una volta creata la chiave per decifrare i file, WannaCry procedeva alla sua cancellazione del sistema infetto, tuttavia il codice malevolo non cancella i numeri primi usati nel processo di generazione. Adrien Guinet ha sviluppato un tool in grado di recuperare i numeri primi dalla memoria del sistema infetto e, applicando l’algoritmo di generazione della coppia di chiavi, risalire alla chiave per decifrare i file”.
Conclusioni: una vicenda molto istruttiva
WannaCry, pur con i danni che ha creato, potrebbe e dovrebbe essere un caso utile a non farci ripetere gli stessi errori.
Le prede più facili di questo attacco sono stati i sistemi non aggiornati, con versioni non più supportate del sistema operativo Microsoft come XP e Server 2003.
Microsoft non c’entra, perché aveva rilasciato – due mesi fa – la patch per la vulnerabilità. Ha fatto esattamente quello che doveva fare: quando ha scoperto la vulnerabilità e l’ha comunicata al mondo (fino a quel momento nemmeno gli hacker sapevano della sua esistenza), ha reso disponibile l’aggiornamento di sicurezza.
La NSA, ancora una volta (e stavolta senza bisogno delle rivelazioni di Snowden!) non esce bene da questa vicenda, dimostrando quanto sia poco trasparente il suo modo di operare. Gli exploit sono vere e proprie armi (anche se informatiche) e andrebbero maneggiate (e soprattutto custodite!) con maggior attenzione. Costruire un exploit (con quale finalità?) e farselo rubare da hacker “più bravi” (gli Shadow Brokers), ci fa capire che in queste situazioni nessuno è inattaccabile, neppure un’agenzia governativa dove dovrebbero esserci i migliori specialisti al mondo in sicurezza informatica.
Ma la “lezione”, in generale, sembra non essere servita: ancora oggi, ad un anno di distanza, si stima che vi siano nel mondo circa un milione di sistemi informatici che non sono stati aggiornati e che quindi risultano – ancora! – attaccabili da WannaCry. Come sempre, la cyber security si dimostra essere un fatto culturale, prima che informatico…
