di Antonio Lamanna
L’attacco informatico di venerdì 12 maggio che ha colpito organizzazioni, università e strutture ospedaliere sembra essere il più vasto nel suo genere da sempre. Gli elementi sono i seguenti:
- un gruppo di cyber criminali ancora non identificato, ma additato dagli inglesi come filo-russo;
- WannaCryptor (o anche Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2), un ransomware identificato a febbraio di quest’anno e per l’occasione denominato semplicemente WannaCry;
- MS17-010, una vulnerabilità del SMB (Service Message Block) un protocollo utilizzato dai sistemi operativi Windows per la condivisione di file e periferiche in una rete di computer, la cui patch è stata rilasciata da Microsoft il 14 marzo scorso;
- EternalBlue e DoublePulsar, due “strumenti informatici” creati e utilizzati dall’Equation Group dell’NSA e pubblicati – dopo essere stati sottratti insieme ad altri – il 14 aprile scorso dal gruppo Shadow Brokers;
- Intere reti di computer di aziende, istituzioni ed ospedali non aggiornate e una diffusa non curanza del rischio di attacchi informatici.
Per i fatti invece basta collegare tra di loro gli elementi.
La sottrazione ad aprile scorso di una copiosa quantità di exploit e altri strumenti alla National Security Agency (NSA) da parte di Shadow Brokers, la diffusione di alcuni di questi in ambienti underground e finita con l’utilizzo di EternalBlue e DoublePulsar per la pianificazione e l’esecuzione dell’attacco. A rendere più semplice l’azione (per i cyber criminali) è stato il mancato aggiornamento di molte reti di computer di aziende e istituzioni, che spesso per motivi di tempo e continuità dei servizi non aggiornano le reti con i security updates rilasciati periodicamente da Microsoft. L’attacco sembra essere stato pianificato per raggiungere il maggior numero di computer possibile. Qualunque Pc non aggiornato dopo il 14 marzo 2017 alla patch per la vulnerabilità MS17-010 è stato un bersaglio e una possibile fonte di guadagno per il gruppo che ha lanciato l’attacco. L’azione non sembra dunque da ascrivere in atti di spionaggio o altri tipi di affari tra Stati, ma piuttosto in un’enorme operazione di cyber crime, la più grande mai documentata, e probabilmente la prima ad aver avuto un impatto geografico così esteso in così poco tempo. La traduzione del messaggio e delle istruzioni per pagare il riscatto disponibili in 28 lingue parrebbero dimostrare l’assenza di un target preciso e dunque avvalorare l’ipotesi criminale.
Schermata del messaggio con le istruzioni da seguire (versione in cinese), la tendina a destra mostra le 28 lingue disponibili. Fonte: Securelist
Anche se in Inghilterra già si parla di probabili responsabilità russe, secondo alcuni l’attacco potrebbe aver avuto origine dalla Cina poiché tra le varie versioni tradotte quella in cinese sembra essere la più precisa. La diffusione di Wannacry è stata possibile grazie allo sfruttamento della vulnerabilità del SMB Server attraverso l’utilizzo dell’exploit EternalBlue e della backdoor DoublePulsar.
Una foto di un Pc dell’Università di Milano Bicocca scattata da uno studente. Fonte: Twitter
Sostanzialmente DoublePulsar è un trojan configurabile che una volta eseguito sul computer crea il file Doublepulsar-1.3.1.exe e comunica con l’attaccante da remoto aprendo una backdoor che consente di connettersi ad indirizzi IP. La backdoor è stata utilizzata per poi installare Wannacry attraverso l’exploit EternalBlue che sfrutta la vulnerabilità MS17-010 del protocollo SMB di Windows. Attraverso questo protocollo, che utilizza la porta 445 e serve per far comunicare più computer tra loro e questi con altri dispositivi come stampanti ecc. – scansiona la rete alla quale il Pc infetto è collegato per trovare altri Pc con la stessa vulnerabilità. Una volta trovati altri computer vulnerabili viene eseguito su questi l’exploit EternalBlue che installa Wannacry, e così via.
È interessante notare come l’attacco sia stato pianificato proprio per infettare più computer possibile sfruttando una vulnerabilità propria delle reti. Proprio la natura della vulnerabilità infatti ha permesso al ransomware di propagarsi come un worm, ovvero replicarsi su più computer connessi alla stessa rete all’istante. Il sistema sanitario inglese infatti, estremamente interconnesso per la condivisione di dati clinici, è stato un ambiente perfetto per la propagazione del ransomware.
Gli effetti che ha Wannacry una volta installato e attivato su un computer sono quelli di criptare tutti i dati presenti sul sistema comprese le immagini di ripristino del sistema e di criptare anche i dati sui dispositivi connessi a quel Pc attraverso il protocollo SMB. Lo sblocco dei dati è possibile soltanto pagando il riscatto di 300$ ad uno dei tre indirizzi bitcoin:
- 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
- 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
- 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
L’ammontare del riscatto aumenta con tempo ed ha già superato i 600$.
L’impatto dell’attacco è stato globale. Il blocco delle reti informatiche di aziende e istituzioni ha investito un centinaio di Paesi. Di seguito un elenco dei bersagli più rilevanti colpiti da Wannacry.
| Corte di Giustizia di San Paolo (Brasile) | Vivo (Azienda di telecomunicazioni, Brasile) | Lakeridge Health (network sanitario, Canada) |
| PetroChina (Cina) | Public Security Bureaus (Cina) | Sun Yat-sen University (Cina) |
| Instituto Nacional de Salud (Colombia) | Renault (Francia) | Deutsche Bahn (Germania) |
| Telenor Hungary (Ungheria) | Andhra Pradesh Police (India) | Dharmais Hospital (Indonesia) |
| Harapan Kita Hospital (Indonesia) | Cement corporation office (Iran) | Università di Milano Bicocca (Italia) |
| Q-Park (Paesi Bassi) | Portugal Telecom (Portogallo) | Dacia (Romania) |
| Ministero degli Affari Esteri (Romania) | MegaFon (Russia) | Ministero degli Affari Interni (Russia) |
| Russian Railways (Russia) | Banco Bilbao Vizcaya Argentaria (Spagna) | Telefonica (Spagna) |
| Sandvik (Svezia) | Garena Blade and Soul (Tailandia) | National Health Service (Regno Unito) |
| Nissan (Regno Unito) | FedEx (Stati Uniti) |
Mappa estensione geografica dell’attacco. Fonte: Intel
Se la diffusione a macchia d’olio è stata tamponata temporaneamente con la trovata di MalwareTech, che ha individuato nel codice di Wannacry il metodo che interrompe la sua azione, è molto probabile che siano già in circolo nuove versioni aggiornate del ransomware prive del kill-switch che consente di fermarne il funzionamento.
Per quanto riguarda le modalità dell’attacco, i target e gli strumenti utilizzati c’è poco altro da dire. Resta invece ancora qualcosa a proposito di altre questioni.
L’attacco di questo fine settimana ha messo in evidenza come sia possibile paralizzare servizi essenziali di un Paese come le strutture sanitarie. Il blocco del National Health System inglese ha dimostrato quanto oggi la sicurezza sociale di un Paese dipenda dalla sicurezza dei suoi sistemi informatici. È molto importante tuttavia notare lo scarso interesse e la noncuranza di istituzioni ed aziende verso la sicurezza informatica. Certamente abbiamo assistito ad un’ondata d’interesse verso il tema della cyber security che a molti ha fatto pensare che si trattasse di una “nuova moda”, uno di quei discorsi passeggeri di cui il mercato si serve per aprire nuovi spazi a nuovi servizi, tuttavia non è questo il caso. Oggi dalla sicurezza delle infrastrutture informatiche, e soprattutto dalla sicurezza dei dispositivi che ci portiamo dietro, dipende gran parte della sicurezza nazionale.
Un ulteriore elemento, che sfugge facilmente nelle analisi, ed è sfuggito anche questa volta è quello della segretezza delle vulnerabilità (tema a cui abbiamo dedicato un paper). L’attacco ha sfruttato due strumenti della NSA, EternalBlue e DoublePulsar. Due strumenti progettati sulla base di vulnerabilità scoperte e segretate per essere utilizzate strategicamente dall’intelligence statunitense. Negli Stati Uniti esiste un procedimento interno al governo che prende il nome di Vulnerabilities Equities Process (VEP) e che, brevemente, serve a classificare una vulnerabilità – scoperta ma ancora non diffusa – come segreta, e dunque di esclusivo utilizzo da parte del governo per ottenere vantaggi strategici su avversari e competitor, oppure renderla pubblica, ovvero comunicarla al produttore del software, del sistema operativo, e via dicendo, per permettergli di risolverla. Ebbene, in questo caso la vulnerabilità è rimasta segreta e sulla base di questa è stato scritto un exploit in grado di sfruttarla, che tuttavia è stato rubato ed utilizzato. In molti altri casi è successo invece che la vulnerabilità segretata, dunque non risolta, è stata ri-scoperta ed utilizzata. Intorno alle vulnerabilità, come quella che ha sfruttato Wannacry, è sorto col tempo un florido mercato che continua a prosperare sulla segretezza di queste vulnerabilità che vengono vendute a caro prezzo, ma ancora di più prospera sulla generalizzata situazione di insicurezza che questo mercato stesso contribuisce ad alimentare.
In conclusione, se da un lato quello dell’aggiornamento dei sistemi si è rivelato per questa volta il fattore moltiplicante della potenza dell’attacco, insieme a questo andrebbe risolta anche la criticità della segretezza delle vulnerabilità, che possono (e lo sono) essere sfruttate per attacchi più devastanti di questo.
Protezione da Wannacry
Intanto, per proteggersi dal ransomware che è ancora in circolo, basta installare la patch rilasciata da Microsoft già due mesi fa con il Microsoft Security Bulletin MS17–010-Critical a questo indirizzo
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Per quanto riguarda l’Italia il CERT-PA ha pubblicato delle linee guida per mitigare gli effetti del ransomware disponibile a questo indirizzo.
