WannaCry, come funziona e come bloccarlo
I Forcepoint Security LABs hanno realizzato un Blog che chiarisce come il worm Wannacry ha agito e come è possibile bloccarlo.
Il Ransomware-Worm WannaCry colpisce i sistemi con patch non aggiornate. La capacità del malware di auto-propagarsi è stato un cambiamento significativo rispetto a quanto si è potuto osservare negli ultimi anni, ricordando forse il più recente attacco di larga scala di questo tipo, ossia il worm Conficker che ha colpito quasi un decennio fa.
Analisi del fenomeno
Le più recenti campagne malevole sono state basate tendelzialmente su trojan: parti di malware che in genere accedono alla macchina attraverso tecniche di social engineering per poi portare avanti il loro comportamento dannoso (cioè il furto di dati, la crittografia dei file o quant'altro) sulla macchina colpita.
Il malware utilizzato in questo attacco - denominato con le varianti di WannaCry, WCry e WannaCrypt0r 2.0 – era, in ultima analisi, di una tipologia diversa: un worm.
I worm hanno la capacità di propagarsi autonomamente una volta che si trovano all'interno di un'organizzazione, estendendo l’infezione da macchina a macchina utilizzando vulnerabilità del sistema operativo Windows non coperte. In questo caso il malware ha utilizzato la vulnerabilità EternalBlue, per la quale Microsoft aveva reso disponibile una patch disponibile tramite MS17-010 nel marzo 2017.
Il punto di ingresso nelle aziende in questo caso sembra sia stata una campagna di email con volumi ridotti i cui messaggi contenevano un link collegato ad un sito web compromesso. Laddove l’utente avesse cliccato sul link, avrebbe dato inizio ad una catena di eventi che portava al download del worm ransomware WannaCry.
Il malware iniziava poi in autonomia a ricercare i computer vulnerabili sulla rete, copiandosi autonomamente sulle macchine non protette, cifrandone i file e richiedendo un riscatto di 300 dollari.
Il malware modificava anche lo sfondo della macchina interessata, come si può vedere da questo screen shot:
Gli attori alle spalle del malware sembrano utilizzare più wallet Bitcoin per ricevere i pagamenti. Al momento della scrittura, il wallet monitorato ha ricevuto un totale di 23 transazioni totali di 4.266 bitcoins (circa 7,400 USD), ma probabilmente solo una piccola parte delle entrate è stata generata da questa campagna.
Forcepoint protegge gli utenti
"Gli utenti di Forcepoint sono stati protetti dall'email iniziale tramite le nostre soluzioni di Email Security, Web Security e NGFW, ma per la natura di questo attacco, anche una sola e-mail non individuata o accidentalmente rilasciata dalla quarantena può esporre un'organizzazione alla cifratura dei propri sistemi. Come abbiamo osservato nel nostro post sul ransomware Jaff all'inizio di questa settimana, adottare un approccio di difesa su più livelli può far sì che un’intrusione possa essere bloccata in diversi momenti lungo la catena di attacco. Come per qualsiasi campagna malware veicolata attraverso la posta elettronica, la formazione degli utenti è una componente fondamentale per limitare questo tipo di attacchi: se il ransomware che è in grado di auto propagarsi diventa il nuovo paradigma, si moltiplicano notevolmente i rischi per l’organizzazione legati ad un collegamento malevolo o all'apertura di un file dannoso da parte di qualsiasi utente, anche se non intenzionale", sottolinea in una nota Forcepoint.
Oltre a questo, la protezione dalla vulnerabilità MS17-010 sfruttata da questo malware è stata rilasciata da quasi due mesi. Ciò spiega in qualche modo la variazione significativa dell'impatto osservata all'interno di diverse organizzazioni e sottolinea la necessità di un processo di distribuzione delle patch di sicurezza robusto e tempestivo.
Le raccomandazioni degli esperti Forcepoint
Per ulteriori informazioni generali sul tema ransomware è possibile visitare il sito https://www.forcepoint.com/ransomware
Analisi del fenomeno
Le più recenti campagne malevole sono state basate tendelzialmente su trojan: parti di malware che in genere accedono alla macchina attraverso tecniche di social engineering per poi portare avanti il loro comportamento dannoso (cioè il furto di dati, la crittografia dei file o quant'altro) sulla macchina colpita.
Il malware utilizzato in questo attacco - denominato con le varianti di WannaCry, WCry e WannaCrypt0r 2.0 – era, in ultima analisi, di una tipologia diversa: un worm.
I worm hanno la capacità di propagarsi autonomamente una volta che si trovano all'interno di un'organizzazione, estendendo l’infezione da macchina a macchina utilizzando vulnerabilità del sistema operativo Windows non coperte. In questo caso il malware ha utilizzato la vulnerabilità EternalBlue, per la quale Microsoft aveva reso disponibile una patch disponibile tramite MS17-010 nel marzo 2017.
Il punto di ingresso nelle aziende in questo caso sembra sia stata una campagna di email con volumi ridotti i cui messaggi contenevano un link collegato ad un sito web compromesso. Laddove l’utente avesse cliccato sul link, avrebbe dato inizio ad una catena di eventi che portava al download del worm ransomware WannaCry.
Il malware iniziava poi in autonomia a ricercare i computer vulnerabili sulla rete, copiandosi autonomamente sulle macchine non protette, cifrandone i file e richiedendo un riscatto di 300 dollari.
Il malware modificava anche lo sfondo della macchina interessata, come si può vedere da questo screen shot:
Gli attori alle spalle del malware sembrano utilizzare più wallet Bitcoin per ricevere i pagamenti. Al momento della scrittura, il wallet monitorato ha ricevuto un totale di 23 transazioni totali di 4.266 bitcoins (circa 7,400 USD), ma probabilmente solo una piccola parte delle entrate è stata generata da questa campagna.
Forcepoint protegge gli utenti
"Gli utenti di Forcepoint sono stati protetti dall'email iniziale tramite le nostre soluzioni di Email Security, Web Security e NGFW, ma per la natura di questo attacco, anche una sola e-mail non individuata o accidentalmente rilasciata dalla quarantena può esporre un'organizzazione alla cifratura dei propri sistemi. Come abbiamo osservato nel nostro post sul ransomware Jaff all'inizio di questa settimana, adottare un approccio di difesa su più livelli può far sì che un’intrusione possa essere bloccata in diversi momenti lungo la catena di attacco. Come per qualsiasi campagna malware veicolata attraverso la posta elettronica, la formazione degli utenti è una componente fondamentale per limitare questo tipo di attacchi: se il ransomware che è in grado di auto propagarsi diventa il nuovo paradigma, si moltiplicano notevolmente i rischi per l’organizzazione legati ad un collegamento malevolo o all'apertura di un file dannoso da parte di qualsiasi utente, anche se non intenzionale", sottolinea in una nota Forcepoint.
Oltre a questo, la protezione dalla vulnerabilità MS17-010 sfruttata da questo malware è stata rilasciata da quasi due mesi. Ciò spiega in qualche modo la variazione significativa dell'impatto osservata all'interno di diverse organizzazioni e sottolinea la necessità di un processo di distribuzione delle patch di sicurezza robusto e tempestivo.
Le raccomandazioni degli esperti Forcepoint
- Assicurarsi che l'aggiornamento per la protezione MS17-010 sia installato in tutte le macchine Windows dell'organizzazione.
- Assicurarsi di disporre di una protezione della posta elettronica e del web in grado di bloccare le email malevole, fermare le fasi di download delle componenti intermedie attivando le segnalazioni di sicurezza in tempo reale (RTSS) e fornire la copertura URL per una protezione aggiuntiva.
- In linea con la guida di Microsoft dal 2016, disattivare SMBv1 su tutti i sistemi Windows.
Per ulteriori informazioni generali sul tema ransomware è possibile visitare il sito https://www.forcepoint.com/ransomware
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Nov 15
WEBINAR by SAMSUNG | La lineup di Samsung Monitor
Nov 15
Cyber Unit: Zyxel
Nov 19
Red Hat Summit: Connect 2024 - Milano
Nov 19
Acronis Certification Day - Security
Nov 19
Ready Informatica vi invita all’evento: Oltre la Nis2 - Nuove Opportunità di Crescita
Nov 19
AWS & Computer Gross Tech Talks: scopri i nuovi webinar
Nov 19
STUPIRE & INNOVARE NEL MONDO SCUOLA E AZIENDA
Nov 19
Microservizi, Container e Kubernetes: scopri l'offerta ReeVo in ambito Cloud Native
Nov 19
Bitdefender GravityZone CSPM+, verifica la postura di sicurezza del tuo cloud pubblico
Magazine Tutti i numeri
G11 Media Networks
ChannelCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
