[UPDATE] Attacco Ransomware Wannacry

Ieri sera, conclusa la trionfante vittoria del Manchester United in Europa League ho cambiato canale girando sulle Iene. C’era una servizio sull’attacco ransomware che negli ultimi giorni è stato al centro delle attenzioni di tutti i media diventando come spesso accade “pane per le Iene”. Tralasciando il fatto che la TV italiana fa schifo e che le notizie serie vengono cavalcate come stalloni da galoppo, ho sentito alcuni passaggi che mi hanno fatto seriamente balenare l’idea di scrivere alla redazione per dirgli cosa pensavo del loro opportunismo “share-atico“. Ho disatteso la mia volontà, ma mi riservo di farlo, magari a freddo e con tanto di cravatta nera (da iena).

Il passaggio che più mi ha infastidito è quello in cui la Iena sostiene che :

“Non è necessaria nessuna azione da parte dell’utente per essere infettati, basta che il proprio Computer sia connesso in rete e il virus può colpirlo” ;  e poi ancora :“Sono interessati tutti gli utenti che possiedono un sistema operativo precedente a Windows 10”; 

Nella prima affermazione c’è l’essenza delle Iene, ovvero quella di prendere una notizia di creare allarmismo indiscriminato. Per carità l’allarmismo ci sta, io per primo su questo tipo di argomenti sono un terrorista nei confronti dei miei utenti, ma cerco di dare le giuste informazioni per evitare che gli utenti prendano errate contromisure.

Premessa : mi sta bene che parlando al popolo si debba usare un linguaggio comprensibile ai più, però il popolo può ignorare una materia ma non è stupido e spiegando gli si può dire le cose come stanno senza generalizzare e creare l’effetto pandemia.

La storia inizia tutta ad Aprile 2017, quando il Gruppo Cyber Criminale “Shadow Brokers” riesce a sottrarre una copiosa quantità di exploit e altri strumenti alla National Security Agency (NSA). Non trovando acquirenti immediati ha provveduto alla diffusione di alcuni di questi tools in ambienti underground e nel Deep Web. Tra gli strumenti c’erano EternalBlue e DoublePulsar che sono proprio le armi usate per la pianificazione e l’esecuzione dell’attacco.

La base di partenza di tutto è la back-door (porta sul retro) Double Pulsar (un virus della famiglia dei Trojan), che deve essere necessariamente eseguita sul Pc e che rende possibile all’attaccante la connessione agli indirizzi IP, altrimenti sarebbe impossibile per chiunque riuscire a capire con esattezza quale macchina attaccare.

Questo ransomware quindi approfitta della back-door per connettersi agli IP e sfruttare, tramite l’exploit denominato EternalBlue, la vulnerabilità di Microsoft relativa all’SMB Server (che è un protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete – da qui la diffusione stile worm di questa infezione); EternalBlue consente all’attaccante di iniettare codice malevolo da eseguire sulla macchina, nel caso concreto algoritmi di cifratura dei file contenuti nel Pc attaccato.

Tradotto in italiano significa questo : 

Microsoft Windows possedeva una vulnerabilità in uno dei protocolli di condivisione interna della rete,  che poteva essere colpita dall’exploit EternalBlue che serve agli hacker per poter eseguire da remoto codice malevolo su altri PC, questa vulnerabilità era nota a Microsoft ed era stata risolta con l’opportuna patch di sicurezza pubblicata da Microsoft il 14 marzo 2017  (fonte Microsoft) come “Security Update for Microsoft Windows SMB Server (4013389). Ad Aprile dei Cyber-Criminali hanno rubato gli strumenti utili a “colpire” la vulnerabilità alla NSA Americana e hanno iniziato a contagiare tutti quelli che non avevano ancora aggiornato i sistemi con la patch di cui sopra.

Non è vero quindi che l’attacco era automatico e che avveniva tutto senza azioni terze, l’utente doveva comunque infettarsi con la back-door per consentire all’exploit di entrare in funzione, e le modalità sono le stesse di cui parlo nel post https://danielequattrini.eu/2016/10/14/come-ti-rapisco-lhard-disk-i-ransomware/ .

Chi si è infettato aveva la possibilità di evitarlo seguendo tempestivamente le direttive MS e questo è il motivo per il quale a essere stati infettati sono stati particolarmente ospedali ed enti pubblici: spesso per motivi di budget e stabilità i più lenti ad aggiornare i loro sistemi.

Non è poi vero che gli utenti Windows 10 o Linux erano a riparo da tale situazione in quanto la patch rilasciata a Marzo 2017 non è presente di default nell’ultima release di Windows 10, se non era stata eseguita la patch si sono infettati anche loro, e inoltre, per gli utenti Linux è presente un’importante vulnerabilità sul servizio Samba (SMB) (che è la versione free dell’omonimo protocollo) che può permettere ad un attaccante di rete, con accesso ad una qualsiasi condivisione con permessi di scrittura, di iniettare ed eseguire codice arbitrario all’interno del sistema vittima dell’attacco, perpetrando così accessi abusivi alle macchine bersaglio ed accessi non autorizzati a risorse interne presenti all’interno del servizio e condivisione. Quindi se gli attaccanti avessero usato una back-door per linux avrebbero potuto creare danni anche a loro.

Mi rendo conto che l’articolo è venuto molto lungo, ma anche se non annovero gli stessi auditors delle Iene, spero almeno che ai miei pochi soliti lettori sia giunto il corretto messaggio, diverso da quello che hanno voluto far passare ieri in Televisione.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *