Come probabilmente saprai, venerdì scorso si è verificato un incidente ransomware senza precedenti negli ospedali del Servizio Sanitario Nazionale. Si dice che sia stato riscontrato in circa 100 paesi e che abbia colpito circa 75.000 macchine (e queste cifre erano ancora in aumento quando siamo andati in stampa).

Per aiutarti, abbiamo pensato di mettere insieme un’anatomia di come si è verificato, raccolta da una serie di fonti diverse, per aiutarti a comprendere meglio come si è verificato e come si è diffuso così rapidamente.

Ma prima di tutto, ci auguriamo che tu possa accendere il tuo computer oggi senza che venga infettato da un malware, perché molte migliaia di persone in tutto il mondo non avranno la stessa fortuna. Vale la pena di informare i tuoi amici e colleghi che utilizzano Windows che è importante che il loro sistema sia completamente patchato con l’aggiornamento di sicurezza “MS17-010” – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Sensibilizzazione via e-mail

È probabile che l’intero attacco sia partito da un attacco di spamming. Diverse agenzie di stampa hanno riportato che il malware che innesca il ransomware è stato installato dopo che un utente ha aperto un documento Word che conteneva macro.

Per chi si occupa di sicurezza informatica, questi attacchi sono all’ordine del giorno. Tuttavia, questo è unico per la sua diffusione. L’attacco è continuato durante il fine settimana, con i media statali cinesi che hanno riferito che 29.000 istituzioni in Cina sono state infettate dal cyberattacco ransomware globale. L’attacco è proseguito anche lunedì mattina, quando il governo federale australiano ha confermato che anche le aziende private sono state colpite dall’attacco ransomware.

L’allegato del destino!

Quindi, una volta che l’e-mail arriva e l’utente apre i documenti allegati, il gioco è fatto!

Possono essere successe diverse cose:

In primo luogo, è probabile che una volta lanciato, il malware si sia inviato a tutti i contatti dell’elenco dei contatti e-mail dell’utente. Questo è uno dei motivi per cui il malware può viaggiare così lontano e così velocemente.

Il malware si sarà quindi installato sul computer locale. In questo modo, molto probabilmente, il ransomware si sarà attivato anche sul computer locale. Questa particolare variante del ransomware ha diversi nomi: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Cifra tutti i file locali che può e visualizza una schermata come questa:

L’idea è che una volta che la crittografia ha preso piede, l’utente deve pagare per poter accedere nuovamente ai propri file. L’importo richiesto è di 300 dollari. Se non paga entro 72 ore, l’importo raddoppia. E se non paga entro una settimana, i file verranno cancellati. Naturalmente, come per tutti i ransomware, non c’è alcuna garanzia che il pagamento porti alla decriptazione dei file. Il pagamento deve essere effettuato utilizzando i Bitcoin: per saperne di più su questa valuta digitale , leggi qui.

EternalBlue

Non lasciarti ingannare dal nome: il nome EternalBlue dovrebbe spaventare molte organizzazioni in questo momento. In passato, la National Security Agency degli Stati Uniti ha scoperto una falla in alcune versioni di Microsoft Windows che consentiva di accedere alle macchine da remoto e di installare software. All’inizio di quest’anno, in un bizzarro susseguirsi di eventi, la stessa NSA è stata violata e gli hacker hanno trovato i dettagli di questa falla e di molte altre. Una volta che questa falla è diventata di dominio pubblico, Microsoft ha rilasciato una patch per tutte le versioni di Windows supportate.

Tuttavia, esistono diverse versioni per le quali non sono state rilasciate le patch, in particolare Windows XP e Windows Server 2003. Il malware arrivato venerdì scorso è stato in grado di scansionare la rete delle organizzazioni alla ricerca di macchine con queste versioni non supportate di Windows e di utilizzare questo exploit (chiamato in codice “EternalBlue”) per installarsi attraverso la rete sulla macchina rilevata, criptandola.

Questa tecnica è un altro motivo per cui il problema si è diffuso così velocemente. È anche il motivo principale per cui l’NHS è stato colpito così duramente. L’NHS è noto per l’utilizzo di software e sistemi operativi obsoleti, anche per alcuni dei suoi sistemi più importanti.

Un’ultima cosa da menzionare. Forse avrai letto le notizie sull'”eroe accidentale” che è riuscito a impedire che altri computer venissero infettati. Sembra che prima che il ransomware entri in azione e cripti i computer, faccia il “check-in” con un dominio internet. Il dominio è “www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”.

In sostanza, il virus controlla se il sito web è attivo e, in caso affermativo, il virus esce invece di infettare il computer. Sembra che si tratti di un interruttore che gli hacker hanno inserito per consentire loro di uccidere la campagna ransomware in caso di necessità. Il dominio di cui sopra non è mai stato registrato e quindi il sito web non sarebbe stato attivo. Ma un analista della sicurezza ha registrato il dominio (pagando una tariffa di 8 sterline) e in questo modo il sito web è diventato attivo e il ransomware non infetterà più nessun computer.

Tuttavia, gli hacker possono apportare piccole modifiche al loro codice e rilasciare nuovamente il ransomware senza questo interruttore. Gli effetti di questa situazione potrebbero essere molto più devastanti di quelli che abbiamo visto venerdì.

Solo il tempo ci dirà se questi attacchi si intensificheranno o se abbiamo visto il peggio di EternalBlue. Tuttavia, gli attacchi di phishing continueranno a verificarsi. Per evitare che la tua azienda venga coinvolta in un incidente globale in futuro, potresti investire nel nostro software di simulazione di phishing specializzato -.  MetaPhish che aumenta la sensibilità dei tuoi dipendenti nei confronti delle e-mail fraudolente. Abbiamo anche un corso eLearning Essential Phishing Awareness che spiega come identificare correttamente un phish e cosa fare quando se ne individua uno.  

Rivolgiti a noi oggi stesso per avere maggiori informazioni su come salvare la tua organizzazione da un attacco di phishing.