Come già annunciato dai media televisivi è in corso da oggi un attacco ransomware su vasta scala che ha preso di mira numerosi presidi ospedalieri ma anche grosse multizionali come Telefonica oppure anche contro sedi universitarie in Cina oppure addirittura contro enti governativi Russi oltre a numerosi attacchi avvenuti in paesi come Ucraina e più in la in Tailandia. Addirittura riguardo Telefonica l’azienda ha indicato ai propri dipendenti di spegnere i propri dispositivi e di scollegarsi dalla rete VPN aziendale, questo per comprendere la portata dell’attacco e dai danni subiti dall’azienda.
El Pais inoltre ha riportato che anche la Banca Santander e la KMPG sono state oggetto di attacco risultando infette da parte di questa ransomware.
Il nome del ransomware è Wanacryptor, anche se viene chiamato con il nome di Wana Decryptor per il fatto che è il primo nome che si vede appena infettati.
IL ransomware sfrutta una vulnerabilità di Windows presente da Windows XP fino a Windows 10, passando per Windows Server. La vulnerabilità sfruttata è relativa il SMBv1 la quale è stata già aggiornata e corretta da Microsoft ma non tutti gli utenti (anzi moltissimi) non hanno provveduto ad aggiornare i propri dispositivi.
Degno di nota è che la vulnerabilità sfruttata è la stessa che qualche mese fa aveva pubblicato un gruppo di hacker chiamati “Shadow Brokers“, i quali avevano pubblicato inoltre strumenti ed exploit creati dalla NSA.
Dopo l’infezione, tra l’altro, il ransomware disattiva e rimuove le copie Shadow di Windows, disabilita il recovery all’avvio del sistema e ripulisce la cronologia di Windows Backup Server (per i sistemi Server).
Oltre a questo con il comando icacls imposta i permessi in Everyone per la cartelle e le sottocartelle ove risiede il ransomware.
Un ricercatore che twitta con il nome di MalwareTechBlog ha rallentato la diffusione del ransomware registrando un dominio, infatti dopo aver analizzato il comportamento del ransomware, si era accorto che prima di attivarsi veniva contattato il dominio
Microsoft Security Bulletin MS17-010 – Critical – Aggiornamento per tutti i sistemi da Windows Vista SP2 – Windows 7 / 8.1 e Windows 10
Microsoft Update Catalog – Aggiornamenti rilasciati per Windows XP SP3, Windows Vista, Windows 8 e Windows Server 2003 / 2008
Microsoft inoltre ha consigliato di disabilitare l’SMBv1, ove possibile, come di seguito
Come attivare e disattivare SMBv2, SMBv1 e SMBv3 in Windows e Windows Server