Come già annunciato dai media televisivi è in corso da oggi un attacco ransomware su vasta scala che ha preso di mira numerosi presidi ospedalieri ma anche grosse multizionali come Telefonica oppure anche contro sedi universitarie in Cina oppure addirittura contro enti governativi Russi oltre a numerosi attacchi avvenuti in paesi come Ucraina e più in la in Tailandia. Addirittura riguardo Telefonica l’azienda ha indicato ai propri dipendenti di spegnere i propri dispositivi e di scollegarsi dalla rete VPN aziendale, questo per comprendere la portata dell’attacco e dai danni subiti dall’azienda.
El Pais inoltre ha riportato che anche la Banca Santander e la KMPG sono state oggetto di attacco risultando infette da parte di questa ransomware.
Come funziona
Il nome del ransomware è Wanacryptor, anche se viene chiamato con il nome di Wana Decryptor per il fatto che è il primo nome che si vede appena infettati.
IL ransomware sfrutta una vulnerabilità di Windows presente da Windows XP fino a Windows 10, passando per Windows Server. La vulnerabilità sfruttata è relativa il SMBv1 la quale è stata già aggiornata e corretta da Microsoft ma non tutti gli utenti (anzi moltissimi) non hanno provveduto ad aggiornare i propri dispositivi.
Degno di nota è che la vulnerabilità sfruttata è la stessa che qualche mese fa aveva pubblicato un gruppo di hacker chiamati “Shadow Brokers“, i quali avevano pubblicato inoltre strumenti ed exploit creati dalla NSA.
Dopo l’infezione, tra l’altro, il ransomware disattiva e rimuove le copie Shadow di Windows, disabilita il recovery all’avvio del sistema e ripulisce la cronologia di Windows Backup Server (per i sistemi Server).
Oltre a questo con il comando icacls imposta i permessi in Everyone per la cartelle e le sottocartelle ove risiede il ransomware.
Contromisure
Un ricercatore che twitta con il nome di MalwareTechBlog ha rallentato la diffusione del ransomware registrando un dominio, infatti dopo aver analizzato il comportamento del ransomware, si era accorto che prima di attivarsi veniva contattato il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Così il ricercatore ha registrato il medesimo dominio creando di fatto un sinkhole che permette di abilitare o disabilitare il ransomware, infatti il medesimo nel codice ha istruzioni specifiche riguardanti il comportamento da intraprendere dopo aver contattato il dominio:
se riceve risposta il ransomware si blocca e smette di funzionare, se invece il dominio non è raggiungibile o non ottiene risposta il ransom si attiva e comincia a fare danni.
Attualmente sembra però che gli sviluppatori del ransomware hanno corretto questo “problema”, implementato allo scopo di disattivare il ransoware in caso di analisi da parte di ricercatori. Microsoft nel mentre ha annunciato di aver rilasciato delle patch anche per sistemi operativi non più supportati come Windows XP, Windows 8 e Windows Vista come di seguito:
Microsoft Security Bulletin MS17-010 – Critical – Aggiornamento per tutti i sistemi da Windows Vista SP2 – Windows 7 / 8.1 e Windows 10
Microsoft Update Catalog – Aggiornamenti rilasciati per Windows XP SP3, Windows Vista, Windows 8 e Windows Server 2003 / 2008
Microsoft inoltre ha consigliato di disabilitare l’SMBv1, ove possibile, come di seguito
Come attivare e disattivare SMBv2, SMBv1 e SMBv3 in Windows e Windows Server