Credit: @dodicin.

Pubblicazione iniziale: 2017/05/12 18:53. Ultimo aggiornamento: 2017/05/13 11:10. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.


2017/05/12 18:53. Da qualche ora è in corso un attacco informatico su una scala che, senza esagerazioni, si può definire planetaria. Sono stati colpiti ospedali, università, compagnie telefoniche, aziende in almeno 70 paesi: in pratica, chiunque sia stato così idiota da non aggiornare i propri sistemi. Eh sì, perché la correzione di Windows che rende immuni a questo attacco è già disponibile da mesi. Non c’è niente di speciale o di imprevedibile in quest’incursione ricattatoria.

La tecnica è la solita: ransomware. In altre parole, i computer vengono infettati e i dati che contengono vengono cifrati con una password nota solo ai criminali. Per avere questa password bisogna pagare un riscatto. Se volete leggere il resoconto di un caso concreto che ho seguito, eccolo.

Il malware è stato denominato WanaCrypt0r 2.0 o WCry/WannaCry. La patch di aggiornamento di Windows da installare per bloccarlo è la MS17-010, disponibile da marzo scorso.

Ripeto: la patch è disponibile da marzo. Se non avete aggiornato i vostri computer, ve la siete cercata.

Aggiornerò questo articolo man mano che avrò novità. Adesso piantatela di leggere e andate immediatamente a patchare. Se non potete patchare, spegnete e scollegate i vostri computer Windows. E raccomandate la vostra anima alla vostra divinità preferita.

This is the day #wcry pic.twitter.com/yGPGfXDkNi

— Vladimir Ivanov (@ivladdalvi) May 13, 2017

Just got to Frankfurt and took a picture of this... #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p

— Marco Aguilar (@Avas_Marco) May 12, 2017

Here's what a London GP sees when trying to connect to the NHS network pic.twitter.com/lV8zXarAXS

— Rory Cellan-Jones (@ruskin147) May 12, 2017

Wow, even in my building lobby! #WannaCry #ransomware pic.twitter.com/ilPqHBmiB5

— Andrew Tinits (@amtinits) May 12, 2017

2017/05/13 09:00. Durante la serata e la notte ho raccolto un po' di informazioni per rispondere alle domande più frequenti. Le trovate qui sotto.

Cosa posso fare per difendermi?

1. Aggiornate il vostro Windows per installare gli aggiornamenti correttivi (patch). Se non sapete come fare, chiedete a qualcuno che lo sa. Microsoft ha radunato tutte le patch per le varie versioni di Windows qui (spiegone).

2. Aggiornate il vostro antivirus.

3. Fate un backup di tutti i vostri dati e scollegatelo dalla rete locale.

4. Chiedetevi perché non avete fatto queste cose prima d’ora e perché c’è voluto un disastro planetario per farvele fare.

5. Non aprite allegati nelle mail senza averli prima controllati con un antivirus.

5. Disabilitate SMB 1.0 come descritto qui.

Sono stato colpito e i miei dati sono cifrati. Cosa posso fare?

1. Se avete un backup recente dei dati, usatelo per ripristinarli.

2. Se scoprite che anche il backup è cifrato (perché poco furbamente fate i backup su un disco di rete invece che su supporti fisicamente rimovibili), avete solo due possibilità: tentare di ricostruire da capo i dati cifrati oppure pagare il riscatto, sperando che i criminali vi diano davvero la chiave di decifrazione.

Non sono al corrente di vittime che abbiano pagato il riscatto, abbiano ottenuto la chiave di decifrazione e siano riusciti a recuperare i propri dati. Tutte le società di sicurezza informatica sconsigliano di pagare, perché questo alimenta e incentiva attacchi di questo genere.

Non uso Windows, sono al sicuro?

Il malware colpisce soltanto sistemi Windows e soltanto se non aggiornati. Se usate MacOS, Linux, Android, Windows Phone, iOS, ChromeOS o qualunque altro sistema operativo diverso da Windows non avete problemi.

Naturalmente se il vostro lavoro o i vostri dati dipendono da qualcun altro che ha computer Windows vulnerabili, potreste avere problemi lo stesso.

Quali versioni di Windows sono vulnerabili?

Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, e Windows Server 2016 se non sono stati aggiornati da marzo scorso.

Windows XP è vulnerabile ma non è più supportato da Microsoft da aprile 2014. Se lo usate ancora su un computer connesso a Internet, come il servizio sanitario britannico, state cercando guai. In via eccezionale, Microsoft ha comunque rilasciato una patch anche per XP.

Come faccio a sapere se il mio Windows è aggiornato e quindi immune?

Se avete gli aggiornamenti automatici di Windows e una versione recente di Windows, siete a posto. Se avete Windows 10 Creators Update, siete immuni a questo problema.

Su Windows 7 e 8, andate a Pannello di controllo - Programmi - Programmi e funzionalità - Visualizza aggiornamenti installati. Su Windows 10 (da Anniversary Update in poi), date un’occhiata a Impostazioni - Aggiornamenti e sicurezza - Windows Update - Cronologia. Per le versioni pre-Anniversary Update di 10 vale la procedura descritta per Windows 7 e 8. Grazie a Ruggio81 per queste info.

Se siete tecnici e sapete usare Metasploit, ci sono delle istruzioni apposite; oppure potreste usare il Microsoft Baseline Security Analyzer.

Come si diffonde l’attacco?

Non ho ancora trovato informazioni su come il malware entri inizialmente in una rete locale, ma una volta che è dentro si diffonde attraverso le condivisioni di rete SMB (Samba). È possibile che usi eventuali condivisioni SMB raggiungibili via Internet per saltare da una rete locale a un'altra. Basta quindi che in un’azienda s’infetti un singolo computer Windows per rischiare di infettare tutti gli altri computer Windows non aggiornati presenti sulla stessa rete locale.

Le fonti citate in fondo a questo articolo ipotizzano per ora che l’intrusione iniziale avvenga in modo classico, attraverso una mail contenente un allegato infettante oppure una pagina Web contenente codice ostile.

Va notata la scelta del momento per l’attacco: nel pomeriggio di venerdì in Europa, quando gli addetti alla sicurezza di molte aziende hanno già lasciato il posto di lavoro o lo stanno per lasciare e appena prima dei backup di fine settimana, in modo da massimizzare il danno.

Dopo alcune ore, la società di sicurezza informatica Malwaretech ha preso il controllo (sinkhole) di uno dei domini citati nel malware:


Malwaretech ha scoperto poi che questo dominio veniva utilizzato dai criminali come riferimento per la gestione del malware: se esiste, il malware non effettua cifratura. Il risultato è che al momento un computer vulnerabile si può ancora infettare ma l’infezione non cifra più i dati, per cui l'attacco è stato in gran parte neutralizzato grazie a un colpo di fortuna e alle tecniche dilettantesche usate dai criminali. Se non installate gli aggiornamenti correttivi, nulla impedisce ad altri criminali di ritentare con una versione di malware più robusta.

Il mio antivirus rileverà l’attacco?

Se è aggiornato, molto probabilmente sì.

Quali paesi/enti sono stati colpiti? C’è una mappa?

Sono stati colpiti il sistema sanitario britannico (costretto a sospendere tutte le attività non urgenti; sono coinvolti ospedali, cliniche, ambulatori, anche a livello dei centralini telefonici; si prevede una paralisi di vari giorni), in Spagna la compagnia telefonica spagnola Telefónica, e altre aziende nel settore dell’energia (Iberdola e Gas Natural), Russia, Turchia, Germania, Vietnam, Filippine, Italia, Cina, Ucraina, Stati Uniti, Argentina e altri paesi, per un totale di almeno 74 paesi secondo BBC. Anche FedEx è stata colpita. La Svizzera è stata sostanzialmente risparmiata, grazie anche all'informativa diramata da MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione).

Il New York Times parla di 45.000 attacchi (e presumibilmente altrettante infezioni). Su Malwaretech.com c'è una mappa animata.

In less than 3 hours (even can say less than 2 hours if we count it from the explosion), they got victims already from 11 countries: pic.twitter.com/cKOF4YpVbT

— MalwareHunterTeam (@malwrhunterteam) 12 maggio 2017

Boom, we have insight!#WannaCrypt pic.twitter.com/Tji2e1D6sK

— MalwareTech (@MalwareTechBlog) 12 maggio 2017

Voglio informazioni tecniche, ce ne sono?

Ci sono quelle di Kaspersky e quelle di rain1; anche Ars Technica ne ha. Emsisoft ha un’analisi della crittografia usata. VirusTotal ha ottime info. C'è anche un video dimostrativo di un attacco. E Talos Intelligence ha info anche sul sinkholing usato per bloccare l’attacco. L'analisi di Microsoft è qui.

2017/05/13 11:10: The Register ha fatto un ottimo punto della situazione.

Chi ci guadagna?

I criminali, per ora sconosciuti, che incassano i Bitcoin pagati dalle vittime. Uno dei portafogli digitali usati dai criminali dovrebbe essere questo, ma per ora non sembra che stia crescendo granché (ma mentre scrivo queste righe è venerdì sera, per cui molte aziende reagiranno lentamente). Un altro sarebbe qui. Queste fonti sono confermate da Kaspersky.

In chiaro:

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Un conteggio aggiornato alle 10 del 13/5 stima un incasso totale circa 14 bitcoin, ossia circa 21.000 euro al cambio attuale. Ma probabilmente il grosso arriverà lunedì, alla riapertura degli uffici.

Cosa c’entra l’NSA?

L'attacco usa una tecnica presente in uno strumento d'intrusione sviluppato dall'NSA, chiamato EternalBlue/DoublePulsar, che è stato trafugato insieme ad altri da un'organizzazione criminale che si fa chiamare ShadowBrokers e che ha dapprima cercato di guadagnare mettendo all’asta la refurtiva e poi, di fronte al fallimento dell’asta, ha pubblicato tutto online, a disposizione di chiunque. EternalBlue/DoublePulsar è stato analizzato e poi ricreato da criminali informatici.

Di chi è la colpa?

Fondamentalmente è dell’NSA, che ha fabbricato armi informatiche pericolosissime e non ha saputo tenerle al sicuro: è come se l’NSA avesse fabbricato un’arma batteriologica, che già è una pessima idea perché uccide chiunque, non solo il nemico, e poi oltretutto l’avesse lasciata su un davanzale, a portata di tutti.

Ed è colpa dell'NSA anche perché ha tenuto per sé la conoscenza delle falle sfruttate da queste armi invece di condividerla con Microsoft e consentirle di correggere la vulnerabilità diffondendo un aggiornamento del proprio software. In sintesi, l'NSA sapeva di un pericolo riguardante migliaia di aziende e sistemi vitali degli Stati Uniti e non ne ha informato nessuno per tenersi un vantaggio operativo.

Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE

— Edward Snowden (@Snowden) May 12, 2017

Whoa: @NSAGov decision to build attack tools targeting US software now threatens the lives of hospital patients. https://t.co/HXRV9uYOuU

— Edward Snowden (@Snowden) May 12, 2017

Ma non è colpa di Wikileaks?

No: è un equivoco piuttosto diffuso. Gli strumenti d’attacco dell’NSA sono stati trafugati e poi pubblicati da ShadowBrokers, non da Wikileaks.

NOTE: WikiLeaks has not released exploit code to the CIA's "zero day" hacking software. See https://t.co/h5wzfrReyy for details

— WikiLeaks (@wikileaks) May 12, 2017

Fonti: CCN-CERT, scheda informativa Microsoft, informazioni Microsoft sulla falla MS17-010, bollettino Microsoft sulla falla MS17-010, New York Times, The Register, Motherboard, Brian Krebs, BBC, The Intercept, Graham Cluley, Sophos, ANSA.