Wannacry: cosa si cela dietro all'attacco che ha messo in ginocchio il mondo
Cosa è Wannacry? Come è stato fermato? Come si sarebbe potuto evitare? L'intervista a Rocco Sicilia
“Uno dei cyber attack più potenti degli ultimi anni”: questa è stata la definizione dell’attacco informatico che la scorsa settimana ha colpito oltre 200mila sistemi in 150 Paesi nel mondo nel giro di pochissime ore. Stiamo parlando di Wannacry, una minaccia in grado di propagarsi a macchia d’olio, con un livello di virulenza tra più elevati mai visti e che è costato un riscatto dell’equivalente di 300 dollari in bitcoin per ogni singolo computer preso di mira, come condizione per porre fine all’offensiva informatica.
Ma cosa è Wannacry? Come è stato fermato? E soprattutto, come si sarebbe potuto evitare?
Ne parliamo in questa intervista a Rocco Sicilia, Solution Architect Longwave.
D: Rocco, abbiamo sentito parlare in decine e decine di articoli di Wannacry. Di che cosa si tratta nello specifico?
R: Wannacry è innanzitutto un worm che monta un cryptolocker. In più, è in grado di installare una BackDoor [n.d.a. una porta segreta]: Double Pulsar. Il malware è quindi in grado di diffondersi sfruttando una vulnerabilità nota di Windows (Eternal Blue) che è stata resa nota qualche settimana fa a seguito della divulgazione di una parte dell’arsenale informatico della NSA ad opera, pare, di un gruppo di “hacker/attivisti” russi. A marzo Microsoft ha effettivamente rilasciato gli aggiornamenti per i sistemi operativi vulnerabili, ma, come spesso capita, non tutti hanno eseguito gli update. Inoltre, tra gli OS vulnerabili c’è anche Win XP, sistema per il quale non fu subito rilasciata la patch.
D: Un problema decisamente grave.
R: Assolutamente, se consideriamo che purtroppo esistono ancora molte strutture legate a sistemi operativi non supportati, in quanto svolgono attività legate a strumenti industriali, come ad esempio la gestione di macchine a controllo numerico o alcuni sistemi di controllo degli strumenti di diagnosi sanitaria presso gli ospedali.
D: Com’è stata possibile una propagazione così vasta?
R: Semplicemente non tutti aggiornano i sistemi operativi. Quindi il malware trova terreno fertile e, sfruttando le potenzialità della componente worm, è capace di auto-propagarsi nelle reti locali, attraverso la vulnerabilità di Windows. Di fatto, tutto poteva essere evitato se i sistemi fossero stati aggiornati.
D: In che modo è stata fermata l’infezione?
R: Una delle menti che stanno dietro a Malwarebytes si è accorta che nel codice sorgente del malware c’è una chiamata ad un dominio web. Tipicamente, questo genere di chiamata viene utilizzata da chi diffonde il malware per due motivi.
- Spegnere l’infezione in caso qualcosa vada storto.
- Capire se l’esecuzione del malware sta avvenendo all’interno di una sandbox
A prescindere dal motivo per il quale il malware utilizzava questa tecnica, il ricercatore di Malwarebytes ha registrato il sito web e ha, di fatto, bloccato la propagazione di Wannacry dopo alcune ore dalla sua comparsa. Quasi subito, però, è stata individuata una nuova infezione di nuove versioni di Wannacry che non presentano questo meccanismo di blocco.
L’attacco di Wannacry rappresenta in sostanza l’ennesima dimostrazione che la Security non è il brutto anatroccolo dell’ICT, ma è una parte fondamentale dei processi di business. Un attacco di questo genere poteva essere arginato o addirittura evitato attraverso soluzioni di Endpoint Security, in quanto i meccanismi anti-exploint di questi sistemi hanno individuato e bloccato la minaccia proprio a livello globale, quindi a livello di endpoint.
Team Marketing Lantech//Longwave