Seguici e condividi:

Eroica Fenice

WannaCry: "cavallo di ritorno" informatico

WannaCry: “cavallo di ritorno” informatico

Nel mese di maggio si è parlato molto del ransomware WannaCry (alias WanaCypt0r), a volte in maniera imprecisa. Ma di cosa si tratta? È un virus che colpisce i sistemi Windows e cripta tutti i file del sistema, cioè li rende illeggibili a meno di non possedere apposite “chiavi”. Poi chiede ai malcapitati un riscatto di 300 dollari (da pagare in Bitcoin) per le “chiavi” necessarie allo sblocco del computer: in pratica è un “cavallo di ritorno” applicato ai computer. Non è il primo malware che agisce in questo modo ma è il primo ad avere avuto una notevole diffusione, infatti si è diffuso su oltre 200.000 computer in circa 150 paesi, raccogliendo però solamente 120.000 $ di riscatto. Attualmente la diffusione del virus si è fermata e nella maggior parte dei casi le vittime non hanno pagato, così come consigliato da forze dell’ordine ed esperti di sicurezza: in casi del genere non si hanno garanzie sullo sblocco dei dati dopo il pagamento.

WannaCry: da dova arriva?

WannaCry si basa su due exploit per Windows, EternalBlue e DoublePulsar, sviluppati da un gruppo dell’NSA. Questi, insieme ad altri strumenti e tecniche per il cyber-spionaggio, sono stati trafugati all’NSA e sono finiti nelle mani del gruppo hacker Shadow Broker, che li ha resi pubblici. Su questo materiale si sono poi basati gli autori di WannaCry, attualmente ignoti. Non è stato finora possibile rintracciare gli autori tramite i riscatti pagati poiché i trasferimenti sono avvenuti in Bitcoin, una valuta virtuale estremamente difficile da rintracciare, inoltre nessun gruppo ha rivendicato la diffusione del malware.

Nonostante sia disponibile da marzo una patch che rimedia alle falle sfruttate da WannaCry, il virus si è diffuso notevolmente poiché in molti casi questa non è stata applicata. In alcuni ambiti “strategici” (ferrovie, servizi sanitari ecc.) prima di effettuare aggiornamenti bisogna, per ovvi motivi, accertarsi che questi non interferiscano con il corretto funzionamento dei programmi già presenti sulle macchine. Che succederebbe se ad esempio un aggiornamento del sistema impedisse il corretto funzionamento dei computer di un’intera compagnia telefonica? Il virus non ha colpito solo i privati ma anche enti statali, come il sistema sanitario inglese, o grandi compagnie, come la Telefonica, operatore telefonico. È disponibile uno strumento, “wanakiwi”, che prova a recuperare le chiavi per decifrare i file dalla memoria del computer. Purtroppo questo è possibile solo se il pc non è stato riavviato dopo l’installazione di WannaCry e se le chiavi sono ancora in memoria, altrimenti i file del computer sono irrecuperabili.

La diffusione del virus è stata ora bloccata, oltre che con la diffusione della patch di sicurezza, grazie ad un meccanismo di sicurezza interno al virus. Prima di entrare in azione questo controlla se i due domini sono stati acquistati. Se i siti sono attivi WannaCry non cifra i file, probabilmente è un meccanismo introdotto dai suoi creatori per arrestarlo in caso di bisogno. Esperti di sicurezza hanno scoperto questa funzione e hanno registrato i domini, arrestando la diffusione del ransomware. Ora è aperto il dibattito su chi siano gli autori ed il movente: semplice crimine o minaccia legata a gruppi hacker di stato?

Francesco Di Nucci

Print Friendly, PDF & Email