WannaCry

Da Wikipedia, l'enciclopedia libera.
WannaCry
Sviluppatore non noto
Sistema operativo Microsoft Windows
Genere Malware

WannaCry, chiamato anche WanaCrypt0r 2.0, è un worm, di tipologia ransomware, responsabile di un'epidemia su larga scala avvenuta nel maggio 2017 su computer con Microsoft Windows. In esecuzione cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari per decriptarli.[1][2]

Il 12 maggio 2017 il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell'interno russo, l'Università degli Studi di Milano-Bicocca.

Al 28 maggio sono stati colpiti oltre duecentotrentamila computer in 150 paesi, rendendolo uno dei maggiori contagi informatici mai avvenuti.[3][4]

Funzionamento[modifica | modifica wikitesto]

WannaCry sfrutta una vulnerabilità di SMB tramite un exploit chiamato EternalBlue, sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.[5][6]

Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet, che vengono infettati senza alcun intervento dell'utente[7]. Quando infetta un computer, WannaCry cripta i file bloccandone l'accesso e aggiunge l'estensione .WCRY; impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l'utente deve pagare in bitcoin per avere lo sblocco dei file.[8][9]

EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata "Security Update for Microsoft Windows SMB Server (4013389)".[10][11] Tuttavia molti computer non sono mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò vulnerabili al worm.

Attacco del maggio 2017[modifica | modifica wikitesto]

Mappa infezione
Paesi colpiti durante le prime ore dell'infezione.[12]

Nel pomeriggio dell'11 maggio 2017 è partito un attacco a numerosissimi sistemi in tutto il mondo.[13] L'Europol ha immediatamente cominciato a indagare per scoprire i responsabili dell'attacco e per monitorare la situazione.[14]

L'attacco è stato fortemente rallentato quando un ricercatore britannico di 22 anni ha scoperto che prima di infettare un computer WannaCry cerca di contattare un indirizzo web, che in quel momento non risultava registrato. Il ricercatore ha supposto che questo fosse un kill switch, un meccanismo inserito nel codice del worm dai suoi creatori nel caso avessero voluto bloccarlo; un'altra ragione del suo inserimento era per consentire al virus di capire in maniera autonoma quando si trovava sotto l'analisi di ricercatori delle società di antivirus, e di disattivarsi autonomamente per poter sfuggire a questi primi rilevamenti e diffondersi il più in fretta possibile dopo le prime infezioni [15]. Dopo aver registrato quel dominio, è stata notata una rapida diminuzione delle infezioni del worm.[16] Vi è comunque il timore che una nuova versione del worm, sprovvista di kill switch, possa essere diffusa e usata per un nuovo attacco[17].

Note[modifica | modifica wikitesto]

  1. ^ Attacco hacker mondiale: virus "Wannacry" chiede il riscatto, ospedali britannici in tilt. "Usato codice Nsa", repubblica.it.
  2. ^ Hacker, l'Europa sotto attacco. Bbc: «Colpite aziende e istituzioni», ilmessaggero.it.
  3. ^ NSA Tool used to spread WannaCry Ransomware; 75K infections in 99 countries!, news.thewindowsclub.com.
  4. ^ Wannacry, ecco cos’è successo e come fermarlo, f-hack.com.
  5. ^ Quel virus diventato letale grazie ai codici della Nsa, lastampa.it.
  6. ^ Offensiva hacker su scala mondiale: Pc "in ostaggio" in 74 Paesi, corrierecomunicazioni.it.
  7. ^ (EN) The worm that spreads WanaCrypt0r - Malwarebytes Labs | Malwarebytes Labs, su blog.malwarebytes.com. URL consultato il 16 maggio 2017.
  8. ^ Il ransomware Wannacry infetta PC non aggiornati: ospedali ed enti pubblici a rischio, ransomware.it.
  9. ^ Attacco hacker in tutto il mondo. Colpiti 75 Paesi, anche l’Italia. Chiesti riscatti di 300 dollari a pc, corriere.it.
  10. ^ Attacco hacker con ransomware, l'antidoto al virus già disponibile da marzo: come installarlo, ilmessaggero.it.
  11. ^ (EN) Microsoft Security Bulletin MS17-010 - Critical, technet.microsoft.com.
  12. ^ (EN) Cyber-attack: Europol says it was unprecedented in scale, in BBC News, 13 maggio 2017. URL consultato il 30 maggio 2017.
  13. ^ Ecco tutti i dettagli sull’attacco hacker con i codici rubati all’Nsa, formiche.net.
  14. ^ Attacco hacker, Europol: colpiti oltre 150 Paesi, rainews.it.
  15. ^ ransomware.it, http://www.ransomware.it/malwaretechblog-rallenta-diffusione-wannacry-dominio-web/ .
  16. ^ Attacco hacker, chi è il ragazzo che ha rallentato il virus (con 10 dollari), corriere.it.
  17. ^ Luca Colantuoni, WannaCry, nuove versioni senza kill switch, su Webnews, 15 maggio 2017. URL consultato il 03 agosto 2017.

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica