A partire dal 12 maggio 2017 è stata avviata una imponente serie di attacchi provocato dal ransomware WannaCryptor. Ampissimo il numero degli stati coinvolti. Dopo le prime 24 ore si erano verificati oltre 45000 attacchi in circa 75 paesi (Fonte Check Point), ma attualmente il numero è cresciuto a 100mila entità colpite su circa 160 paesi.
L’attacco hacker utilizza il protocollo SMB (Server Message Block) per propagarsi all’interno delle reti aziendali. Il vettore d’attacco può presentarsi in numerosi modi: un link all’interno di una mail, un link all’interno di un PDF o un file ZIP crittografato protetto da password che contiene un PDF che dà avvio alla catena di infezione.
Il ransomware che ha sferrato l’attacco è la versione 2.0 di WCry, noto come WannaCry o WanaCrypt0r. La versione 1.0 di questo ransomware era stata scoperta lo scorso 10 febbraio, ma il ransomware era stato poco utilizzato. Dal 12 Maggio invece, la versione 2.0 è stata responsabile di un attacco mondiale probabilmente ancora in corso.
L’ attacco globale è particolarmente inquietante perché il malware utilizzato oltre a essere un ransomware, rientra nella categoria worm (malware in grado di autoreplicarsi). Il worm si diffonde ad altri computer tramite appunto una mail o una rete di pc. Una volta che il PC viene colpito, il worm crittografa i dati e blocca il dispositivo finché non viene pagato un minimo di $300 in bitcoin. Alcuni riferiscono che questo potrebbe essere stato lanciato dagli strumenti hacker dell’NSA rilasciati dal gruppo Shadow Brokers circa un mese fa.
Oltre gli ospedali britannici, l’attacco ha coinvolto aziende presenti in Russia, Turchia, Indonesia, Vietnam, Giappone, Spagna e Germania. In Spagna sono state coinvolte aziende come Telefonica e Santander.
Si raccomanda di prestare massima attenzione ai file che si ricevono via email e di non aprile assolutamente file sospetti anche se provenienti da mittenti conosciuti. Aatish Pattni, head of threat prevention, Northern Europe di Check Point Software Technologies ha anche commentato suggerendo alle aziende di prevenire le infezioni eseguendo la scansione, bloccando e filtrando i contenuti dei file sospetti prima che raggiungano le loro reti. È inoltre fondamentale che i dipendenti siano istruiti sui potenziali rischi causati da email inviate da soggetti sconosciuti o da messaggi di posta sospetti che però sembrano provenire da contatti conosciuti.”
La polizia postale ha diffuso un avviso specifico e consiglia, per difendersi, l’installazione della Patch MS 17-010, rilasciato da Microsoft il 17 Marzo u.s. e quella del 9 Maggio 2017, attraverso l’aggiornamento del sistema operativo mediante Windows Update.
Nonostante entro le prime 36 h. dall’infezione un ricercatore britannico, di cui si conosce solo l’alias di malwaretech, abbia attivato il kill switch del virus comprando il dominio gwea.com (a cui il virus tenta di collegarsi e solo se non riesce, “rimbalza”, e continua l’infezione), e’ importante sapere che sono gia’ in circolazione nuove varianti che non prevedono tale meccanismo di “disinnesco”. Quindi l’attenzione ai link a cui si clicca e al patching appropriato devono restare prioritari.
Per approfondimenti si può consultare anche il Blog di Check Point