Valtiberina Online - Un portale Wineuropa |
Newsletter WineuropaTecnologia & Internet Come funziona WannaCry, la minaccia informatica del momento: è un micidiale ibrido tra ransomware e worm. Ecco come difendersiBiopsia di WannaCry, il ransomware del momentoLa minaccia informatica del momento, capace di propagarsi in oltre centocinquanta paesi e trecentomila sistemi, è un temibile ransomware con funzioni da worm. In pratica, un malware di quelli che crittano i dati del computer della vittima, e li sbloccano solo previo pagamento di una certa cifra, ma con in più la capacità di diffondersi su altri sistemi in perfetta autonomia, sfruttando una rete a cui sono collegati - anche offline. Non è facile spiegare il funzionamento di WannaCry da "sotto il cofano", ma cerchiamo di fare un po' di chiarezza. Capite bene che, proprio per questo, la diffusione della minaccia informatica è molto legata all'accortezza del singolo utente e alla sua capacità di seguire qualche basilare norma di buona sicurezza informatica. Anche WannaCry, che è conosciuto anche coi nomi di WannaCrypt, WCry, WanaCrypt0r o WCRY, all'inizio sfrutta un vettore d'attacco simile (la notizia non è stata ancora confermata, ma sembra la spiegazione più plausibile). Un file da aprire, in genere un PDF, che avvia il funzionamento di un dropper, cioè un piccolo programma contenuto nel file stesso che ha la funzione di scaricare e installare il malware vero e proprio. La vulnerabilità non è altro che un errore di programmazione, in questo caso nei sistemi operativi Windows, che se sfruttato da criminali informatici può portare a guai seri. Nella fattispecie, l'errore riguarda il Server Message Block, vale a dire una tecnologia utilizzata per condividere file, periferiche e collegamenti tra computer diversi. Molto spesso, per fortuna, errori di questo tipo sono scoperti anzitempo e corretti con gli aggiornamenti, ma CVE-2017-0145 è rimasto sulla cresta dell'onda per così tanto tempo da solleticare l'interesse della National Security Agency americana (NSA), la quale per l'occasione realizzò un apposito exploit, cioè uno strumento software che sfruttava la vulnerabilità per agevolare l'accesso a determinati computer. Il problema è che lo scorso aprile il gruppo di hacker The Shadow Brokers riuscì a rubare all'agenzia, un discreto archivio di programmini di questo tipo, rilasciandolo poi pubblicamente. E, tra questi, vi era appunto EternalBlue, vale a dire l'exploit della famigerata vulnerabilità CVE-2017-0145. Qualcuno, dunque, ha ben pensato di unire il classico ransomware a EternalBlue, ottenendo quello che definirei un "ransomworm". Tornando al dropper, questo, una volta attivato, sfrutta la funzione InternetOpenUrl() per tentare un collegamento a uno di due domini: Si tratta di due domini fino a qualche giorno fa inesistenti, digitati forse a casaccio da chi ha realizzato il malware, per inserirvi, probabilmente, una certa forma di controllo. Infatti, se la connessione con uno di questi indirizzi va a buon fine, il dropper si blocca, di fatto non infettando la macchina né propagando la minaccia. Se, al contrario, la connessione non va a buon fine, come avveniva poiché gli indirizzi erano inventati e non esistevano, l'infezione procede. È su questo principio che, qualche giorno fa, un ricercatore ventiduenne di MalwareTech è riuscito a limitare la diffusione di WannaCry: ha registrato quei domini farlocchi, facendo in modo che la connessione col dropper andasse a buon fine, bloccando la diffusione della minaccia su un gran numero di sistemi. Come funziona la componente ransomware Dopo altre operazioni "accessorie", si fa per dire, WannaCry passa a codificare i file del sistema, aggiungendo a questi l'estensione WNCRY. Poi elimina le "shadow copy" dei file, se presenti (era uno dei metodi per ripristinare i file codificati da vecchie generazioni di ransomware, senza pagare alcun riscatto). Quindi avvia un eseguibile che mostra il messaggio principale, ricco di dettagli e istruzioni per il pagamento, perfino tradotto nella lingua di pertinenza. WannaCry, comunque, non si limita solo a questo: scansiona tonnellate di indirizzi IP, generati casualmente, a caccia di sistemi esterni dotati della vulnerabilità. Se ne trova uno, copia ed esegue su questo il dropper, e il ciclo ricomincia da capo. Inoltre, è presente una funzione "demo" che consente di decrittare qualche file di esempio per verificare che, in caso di pagamento, l'operazione vada a buon fine. Una malevola professionalità che magari può far sorridere, non fosse per il fatto che WannaCry, al momento, ha bloccato, tra gli altri, anche diverse infrastrutture critiche come quelle di ospedali e operatori telefonici. tratto da wired.it
Inserita il : 18-05-2017 da wineuropa Invia il tuo commento |
|