WannaCry: chi è e come difendersi

PayLoad del malware WannaCry

Venerdì 12 maggio 2017 è stato messo in atto un massiccio tentativo di diffusione di un malware di tipo ransomware noto come "WannaCry".
Il metodo di tentata diffusione ha visto l'applicazione di una strategia a doppio percorso, mettendo insieme il "classico" metodo del Phishing, dunque invio di mail con allegati "finti" file di testo, in realtà applicativi malware, e link esterni sospetti, con un metodo "push" di sfruttamento di alcune vulnerabilità di rete internet e interne, degli applicativi antimalware e dei sistemi operativi Windows.

Si stima che WannaCry negli scorsi 3 giorni dal 12 al 14 maggio abbia infettato con successo circa 230.000 PC e che l'ammontare dei "ransoms" (riscatti) pagati dagli utenti dei sistemi infetti siano stati pari complessivamente a circa 33.300$. Il software ha causato danni e si è infiltrato anche in aziende di grandi dimensioni, come Renault, Nissan, Telefonica, FedEx, e in enti pubblici, come il Ministero degli Interni russo e l'università di Milano-Bicocca in Italia.

Ecco alcune informazioni e strategie utili per contrastare questo ransomware.

WannaCry: chi è e cosa fa

WannaCry, diffuso anche come WannaCrypt0r, WannaCrypt 2.0 e WCry, è un malware di tipo ransomware, quindi che limita l'accesso a un dispositivo informatico, alle sue funzionalità o ai dati in esso contenuti cifrandone le informazioni e chiede un riscatto di circa 300$ in Bitcoin, la valuta internazionale elettronica, per avere la chiave di cifratura privata da parte degli hackers e risbloccare il dispositivo o i files infetti. L'architettura malware ha lasciato intendere in maniera chiara che il target principale (ma non unico!) di questo malware sono PC con sistemi operativi Windows, in particolare se non aggiornati o dotati di "vecchi" sistemi operativi, es. Windows XP.

 

PayLoad del ransomware WannaCry

 

Come generalmente tutti i malware e come già detto in precedenza WannaCry da un lato si è diffuso tramite il "classico" invio di e-mail di Phishing con allegati e link sospetti (che, una volta aperti, generano il download, l'installazione e la messa in funzionamento del malware), dall'altro, per questo si parla di "attacco informatico", con tentativi forzati di installazione tramite accessi abusivi a terminali, computers e reti sfruttando eventuali vulnerabilità, se presenti, degli stessi.

Prevenire WannaCry e i ransomware

Per prevenire l'infezione e i danni arrecati da WannaCry o analoghi malware vi invitiamo a leggere precedente articolo sul nostro blog http://www.euler.it/blog proprio in merito ai ransomware, reperibile sul nostro sito al link http://www.euler.it/node/24, all'interno del quale sono illustrate le principali procedure di prevenzione ed eventuale rimozione dei ransomware e ne sono illustrati nel dettaglio informatico i meccanismi di funzionamento e le tipologie più diffuse.

La Polizia Postale ha già creato un apposito articolo in merito, con guida ed istruzioni che vi invitiamo a consultare http://poliziadistato.it/articolo/38591867b4ec5fd518737032/

Vi invitiamo anche a tenere monitorato il sito del progetto "No More Ransom" https://www.nomoreransom.org/ in quanto probabilmente, nei prossimi giorni, potrebbe essere disponibile un software di decriptazione del malware.

E' importante sapere, come concetto generale, seppure si sia visto nei giorni e scorsi un vero e proprio attacco informatico su vasta scala globale, l'unico consiglio utile per la prevenzione di WannaCry o analoghi ransomware è quello dell'attenzione costante: il malware era già in circolazione da tempo prima dell'attacco del 12 maggio, i gravi danni arrecati in poco più di due giorni di massicci tentativi d'infiltrazione sono dovuti purtroppo alle scarse attenzioni e agli scarsi sistemi di difesa e prevenzione applicati ai sistemi informatici. Sistemi aggiornati, dotati di antivirus aggiornati con frequenza giornaliera e in monitoraggio costante, reti progettate con chiavi di sicurezza forti, sistemi di backup settimanali dei dati, sono tutti piccoli accorgimenti da adottare costantemente ma che permettono in occorrenza di questi attacchi di essere tutelati e privare il malware della propria efficacia.

La prevenzione di ransomware e, più in generale, del CyberCrime, dev'essere un'attività costante giornaliera, non un insieme di pratiche che si attivano in occasione di tentativi di attacco informatico massiccio. E questo è il più prezioso consiglio che possiamo darvi in materia.