WannaCry Ransomware: intervista agli esperti di Emsisoft

WannaCry Ransomware Main Image

Non ci sono molte novità sull’attacco ransomware WannaCry ecco perchè è impossibile sapere da dove iniziare a leggere. La maggior parte delle testate giornalistiche parlano di moltissime cose che potrebbero o non potrebbero essere connesse, alcuni articoli, per esempio, pongono più domande che risposte.

Il fatto: il ransomware WannaCry ha colpito centinaia di migliaia di computer dal momento della sua diffusione, il 12 Maggio 2017 ed ha carpito l’attenzione globale come nessun altro malware prima d’ora.

Ma cosa rende questo ransomware differente dagli altri? Come fa a diffondersi così rapidamente? Cosa dobbiamo aspettarci nel futuro da questi tipi di attacchi?

Per scoprirlo, ci siamo seduti con il CTO e capo del laboratorio di Emsisoft, Fabian Wosar, e la ricercatrice ransomware di Emsisoft, Sara W. Scopriremo come proteggerci e perchè il backup è così importante. Di seguito troverai l’intervista.

Grazie per spendere del tempo nel parlare di WannaCry e di come vengono protetti i clienti. Per iniziare: perchè questo ransomware è differente dagli altri e perchè si diffonde così rapidamente?

Come parte del nostro lavoro quotidiano, controlliamo differenti canali per identificare e monitorare le attività dei ransomware. Tra i quali è presente il nostro feed di ricerca e malware, canali delle comunità come forum, ID Ransomware e Twitter. La mattina di venerdì la nostra attenzione è caduta sull’attività che abbiano notato su Twitter riguardo WannaCry.

Abbiamo subito capito che non era un semplice e “normale” attacco ransomware quando abbiamo notato che l’NHS è stato colpito e che il rateo di infezione dei network era altissimo.

Come si diffonde WannaCry

La vulnerabilità di Windows ‘Eternal Blue’ [un exploit scoperto dalla NSA e tenuto nascosto] è stato rilasciato nel Marzo 2017 insieme ad un’altra serie di bachi dal The Shadow Brokers, un gruppo hacker. WannaCry utilizza una tipologia di worm che si diffonde rapidamente nel network tramite delle vulnerabilità. Normalmente, il ransomware viene scaricato su un computer alla volta. Però, una volta che un computer viene infettato, si espande a macchia d’olio da computer a computer, senza che l’utente se ne accorga.

Questo problema è stato corretto da Microsoft nel Marzo 2017, ciò significa che il worm ha infettato solo i computer con un sistema operativo non aggiornato. Questo è il caso tipico degli ospedali, utilizzano hardware dotati di sistemi operativi obsoleti, ma che però sono connessi ad internet.

Questo virus infatti infetta solo i computer che non avevano gli ultimi aggiornamenti Windows installati, qualsiasi computer senza aggiornamenti è vulnerabile ai rischi. Ecco perchè raccomandiamo sempre di aggiornare tutti i software e soprattutto il sistema operativo.

How wannacry ransomware spreads

Comparandolo con altri attacchi ransomware globali, quanto è sofisticato WannaCry?

WannaCry è notevole solo per lo exploit che utilizza, scoperto dalla NSA (Eternal Blue). Ad ogni modo, il codice exploit non è stato scritto dagli autori del malware, ma è un lavoro di copia ed incolla. Non c’è niente di impressionante nel copia ed incolla.

A parte il comportamento da worm, WannaCry non è niente di speciale in termini di ransomware. Non è neanche molto sofisticato.

Ma è stato comunque un vero problema per le vittime. Il codice non genera un indirizzo individuale bitcoin per ogni utente, ciò significa che ci sono 3 indirizzi bitcoin condivisi con tutte le vittime.

I criminali non avevano molte idee di come le vittime avrebbero pagato. Non essendoci un tool di decriptazione automatico basato sull’indirizzo individuale, le possibilità di ottenere indietro i propri file pagando sono molto basse.

WannaCry Ransomware ransom note -

Nota del ransomware WannaCry

Dal momento iniziale, i ricercatori di sicurezza hanno trovato un “interruttore”. Potete spiegarci cosa significa esattamente?

Essenzialmente non è facile trovare il malware nel sistema infettato in quanto potrebbe permettere ad una analisi forense di risalire al criminale. Per sua natura il malware tenta di sfuggire alle analisi, utilizzando una specie di “sandbox” i ricercatori possono osservare ed analizzare gli esemplari dei malware su un sistema.

Le sandbox, solitamente, sono isolate da internet, ma alcuni malware necessitano l’accesso alla rete per funzionare con successo. Perciò, le sandbox simulano questo accesso, facendo si che ogni connessione ad internet abbia sempre una risposta e sia “utile” al malware.

Un metodo utilizzato dai malware è quello di tentar di accedere ad un indirizzo conosciuto che non esiste. Se si può fare, allora è come utilizzare una sandbox. Il malware termina quello che sta facendo e si rende “innocuo” al fine di non poter essere riconosciuto; ecco quello che chiamiamo “interruttore”.

Normalmente questi controlli vengono fatti utilizzando domini con nomi casuali, ma in questo caso particolare, il ransomware WannaCry utilizza un nome di dominio cablato. Quando è stato registrato da un ricercatore, è diventato accessibile tramite internet. Perciò, per il malware, ogni sistema con una connessione ad internet sembrava una sandbox. Il malware perciò si è disattivato, pensando di essere osservato.

Non è ancora chiaro se questo “interruttore” sia creato volutamente o meno dai criminali. Quello che sappiamo è che il ransomware non è cambiato molto e neanche il worm utilizzato per la sua diffusione. Fino ad ora non ci sono conferme sulla creazione volontaria di un componente del worm per la sua disattivazione, a parte poche varianti editate manualmente che non hanno mai raggiunto la distribuzione originaria.

Dobbiamo aspettarci altri attacchi simili basati su questi exploit?

Quasi certamente. Pensiamo che i criminali utilizzeranno worm similari per diffondere malware, includendo ovviamente ransomware. Infatti, la miniera del bitcoin si è diffusa in questa maniera. Come abbiamo visto nel passato, con ad esempio il ransomware Spora, vengono utilizzati metodi per il pagamento più sofisticati. Non è questione di “se” vedremo un altro attacco, ma di “quando” lo vedremo e se sarà più potente e costoso per le vittime.

Scopri i principali metodi di infezione dei ransomware

C’è qualche modo per decriptare i dati una volta che i file vengono infettati dal ransomware WannaCry?

Sfortunatamente no, WannaCry utilizza una crittografia sicura. Anche se paghi i criminali, come descritto poco fa, non c’è modo di tracciare il pagamento, perciò non ti assicura di riavere i tuoi file. Il criminale potrebbe anche chiederti ulteriori soldi.

Gli utenti Emsisoft non sono stati colpiti da questo attacco. Potete spiegarci come, e perchè, alcuni software di sicurezza non sono stati in grado di rilevare questa minaccia?

In alcuni casi, posso dire che le vittime non stavano utilizzando antivirus o altri software di sicurezza. Nel caso in cui invece venivano utilizzati dei software di sicurezza, è possibile che il prodotto non avesse un controllo del comportamento contro i ransomware.

I prodotti Emsisoft, in particolare, utilizzano un approccio su più livelli per proteggere gli utenti. Pensiamo che nessuna tecnologia sia affidabile al 100%. Ad ogni modo, applicando diverse tecnologie, si può ottenere un altissimo tasso di protezione. Nel caso del ransomware WannaCry, gli utenti Emsisoft sono sempre protetti tramite 3 livelli di protezione:

  1. Firewall: se stai utilizzando Emsisoft Internet Security, il firewall avrebbe prevenuto il tentativo di intrusione dalla porta 445, una porta vulnerabile al protocollo SMB, utilizzata dall’exploit WannaCry. Se la porta non è accessibile, non può essere utilizzata dall’exploit ed il tuo computer protetto dal malware.
  2. Protezione dei file: prima che il file diventi attivo nel sistema, il modulo della protezione dei file controllerà il file con il nostro database. Le firme generiche che avevamo creato per l’attacco WannaCry nel lontano febbraio già coprivano la maggior parte delle varianti utilizzate, perciò l’attacco è stato bloccato. Le poche varianti del worm che non erano riconosciute, sono state aggiunte in soli 30 minuti.
  3. Controllo del comportamento: se la minaccia dovesse diventare attiva, il controllo del comportamento entra in azione rilevando il tentativo di infezione del ransomware. Dopo aver rilevato questo comportamento, lo blocca e neutralizza la minaccia. Il controllo del comportamento non blocca solo i ransomware, ma qualsiasi altro comportamento dannoso per il sistema da parte di malware sconosciuti.

Perciò i nostri prodotti sono pensati su più livelli, non siamo della filosofia di mettere tutte le uova in un solo cestino. In questo caso, se un modulo non blocca l’infezione, ce ne sarà un altro che lo farà.

Questo è triste da dire, non c’è prodotto che sia in grado di bloccare tutto. Ecco perchè effettuare un backup è sempre importante.

Quanto è rischioso per un utente od una società seguire questo attacco? Cosa si può fare per rimanere protetti in futuro da questi ransomware?

La filosofia del backup 321 è la miglior protezione contro i ransomware:

321_backup_philosophy_alt

Assicurati di aggiornare il sistema e tutte le applicazioni a rischio (applicazioni che accedono ad internet direttamente o che possono modificare e visualizzare documenti, come ad esempio browser, lettori PDF, media player, programmi di posta etc.).

Si, gli aggiornamenti possono essere la soluzione. Ad ogni modo, utilizzare una soluzione di backup attenua la possibilità di pericoli e consente all’utente di ripristinare il sistema nel caso che qualcosa andasse storto.

Ed infine, ma non per ultimo, utilizza un software anti-malware aggiornato per prevenire ogni tipo di malware. Utilizza anche un firewall, che sia fisico o software, come il firewall di Windows od utilizza un prodotto come Emsisoft Internet Security per bloccare worm come WannaCry isolando servizi potenzialmente rischiosi.

Ti auguriamo una buona giornata (libera da WannaCry)!

CTA_ransomware_EAM_Download_DE