WannaCry

WannaCry, chiamato anche WanaCrypt0r 2.0, è un worm, di tipologia ransomware, responsabile di un'epidemia su larga scala avvenuta nel maggio 2017 su computer con Microsoft Windows. In esecuzione cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari per decriptarli.^[2][3]

WannaCry software
La schermata in cui il virus richiede il pagamento del riscatto per decrittare i dati. La schermata in cui il virus richiede il pagamento del riscatto per decrittare i dati.
Genere	Ransomware (non in lista)
Sviluppatore	Possibile attribuzione agli hacker Nord Coreani[1]
Sistema operativo	Microsoft Windows

Il 12 maggio 2017 il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell'interno russo, l'Università degli Studi di Milano-Bicocca.

Al 28 maggio sono stati colpiti oltre 230.000 computer in 150 paesi, rendendolo uno dei maggiori contagi informatici mai avvenuti.^[4][5]

Funzionamento

WannaCry sfrutta una vulnerabilità di SMB tramite un exploit chiamato EternalBlue, che si ritiene sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fa chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.^[6][7]

Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet, che vengono infettati senza alcun intervento dell'utente^[8]. Quando infetta un computer, WannaCry cripta i file bloccandone l'accesso e aggiunge l'estensione .WCRY;^[9] impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l'utente deve pagare in bitcoin per avere lo sblocco dei file.^[10][11]

EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata "Security Update for Microsoft Windows SMB Server (4013389)".^[12][13] Tuttavia molti computer non sono mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò vulnerabili al worm.

Attacco del maggio 2017

 

Paesi colpiti durante le prime ore dell'infezione.^[14]

Nel pomeriggio dell'11 maggio 2017 è partito un attacco a numerosissimi sistemi in tutto il mondo.^[15] L'Europol ha immediatamente cominciato a indagare per scoprire i responsabili dell'attacco e per monitorare la situazione.^[16]

L'attacco è stato fortemente rallentato quando un ricercatore britannico di 22 anni ha scoperto che prima di infettare un computer WannaCry cerca di contattare un indirizzo web, che in quel momento non risultava registrato. Il ricercatore ha supposto che questo fosse un meccanismo inserito nel codice del worm dai suoi creatori nel caso avessero voluto bloccarlo; un'altra ragione del suo inserimento era per consentire al virus di capire in maniera autonoma quando si trovava sotto l'analisi di ricercatori delle società di antivirus, e di disattivarsi autonomamente per poter sfuggire a questi primi rilevamenti e diffondersi il più in fretta possibile dopo le prime infezioni^[17]. Dopo aver registrato quel dominio, è stata notata una rapida diminuzione delle infezioni del worm.^[18] Vi è comunque il timore che una nuova versione del worm, sprovvista del sistema di blocco, possa essere diffusa e usata per un nuovo attacco^[19].

Note

1. ^ (EN) The Ransomware Outbreak Has a Possible Link to North Korea, in WIRED, 15 maggio 2017. URL consultato il 28 ottobre 2018.
2. ^ Attacco hacker mondiale: virus "Wannacry" chiede il riscatto, ospedali britannici in tilt. "Usato codice Nsa", su repubblica.it.
3. ^ Hacker, l'Europa sotto attacco. Bbc: «Colpite aziende e istituzioni», su ilmessaggero.it.
4. ^ (EN) NSA Tool used to spread WannaCry Ransomware; 75K infections in 99 countries!, su news.thewindowsclub.com.
5. ^ Wannacry, ecco cos’è successo e come fermarlo, su f-hack.com. URL consultato il 28 maggio 2017 (archiviato dall'url originale il 13 giugno 2018).
6. ^ Quel virus diventato letale grazie ai codici della Nsa, su lastampa.it.
7. ^ Offensiva hacker su scala mondiale: Pc "in ostaggio" in 74 Paesi, su corrierecomunicazioni.it.
8. ^ (EN) The worm that spreads WanaCrypt0r - Malwarebytes Labs | Malwarebytes Labs, su blog.malwarebytes.com. URL consultato il 16 maggio 2017.
9. ^ SerHack, Analisi ransomware WannaCry, su SerHack – Security Research, 17 maggio 2017. URL consultato il 9 settembre 2022.
10. ^ Il ransomware Wannacry infetta PC non aggiornati: ospedali ed enti pubblici a rischio, su ransomware.it.
11. ^ Attacco hacker in tutto il mondo. Colpiti 75 Paesi, anche l’Italia. Chiesti riscatti di 300 dollari a pc, su corriere.it.
12. ^ Attacco hacker con ransomware, l'antidoto al virus già disponibile da marzo: come installarlo, su ilmessaggero.it.
13. ^ (EN) Microsoft Security Bulletin MS17-010 - Critical, su technet.microsoft.com.
14. ^ (EN) Cyber-attack: Europol says it was unprecedented in scale, in BBC News, 13 maggio 2017. URL consultato il 30 maggio 2017.
15. ^ Ecco tutti i dettagli sull’attacco hacker con i codici rubati all’Nsa, su formiche.net.
16. ^ Attacco hacker, Europol: colpiti oltre 150 Paesi, su rainews.it.
17. ^ Paolo Dal Checcho, Ricercatore rallenta la diffusione di WannaCry con un dominio web da pochi dollari, su ransomware.it, 13 maggio 2017.
18. ^ Attacco hacker, chi è il ragazzo che ha rallentato il virus (con 10 dollari), su corriere.it.
19. ^ Luca Colantuoni, WannaCry, nuove versioni senza kill switch, su Webnews, 15 maggio 2017. URL consultato il 3 agosto 2017.

Voci correlate

• Crittografia
• Ransomware
• EternalBlue

Altri progetti

Altri progetti

• Wikimedia Commons

•   Wikimedia Commons contiene immagini o altri file su WannaCry

Collegamenti esterni

• Dario Centofanti, Gli effetti di WannaCry. Linee guida e consigli del CERT della PA, su popinga.it.
• (EN) Mappa in tempo reale degli attacchi, su intel.malwaretech.com. URL consultato il 13 maggio 2017 (archiviato dall'url originale il 14 maggio 2017).
• (EN) Mappa cumulativa degli attacchi, su intel.malwaretech.com. URL consultato il 13 maggio 2017 (archiviato dall'url originale il 13 maggio 2017).
• (EN) MSRC Team, Customer Guidance for WannaCrypt attacks – MSRC, su blogs.technet.microsoft.com, 2017 Microsoft.

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica