Il cryptoworm denominato WCry, WannaCry o WanaCrypt0r che nel weekend ha attaccato migliaia di computer ancora non è stato sconfitto e la sua azione, seppur rallentata, continua a mietere vittime in tutto il mondo.
Come noto questo malware ha già infettato oltre 200mila computer tra istituzioni pubbliche e grandi corporation in 150 Paesi, bloccando i PC di diversi ospedali inglesi, portando alla sospensione della produzione in diversi stabilimenti della Renault , oltre ad aver colpito i server della compagnia di telecomunicazione spagnola Telefonica.
Si tratta di un’infezione globale estesa in particolare in Russia ed Asia. Ad esempio in Cina sono state prese di mira alcune scuole, infettati anche alcuni computer della Banca centrale russa e della società ferroviaria, sempre russa, RZhD.
Come funziona WannaCry?
WannaCry tecnicamente viene definito un ransomware, una sorta di virus noto anche come WannaCrypt0r, che prende in ostaggio i PC in cui si installa. Una volta presente all’interno del sistema operativo, il computer viene bloccato e i suoi file criptati rendendoli inaccessibili dall’utente. Sullo schermo appare quindi un messaggio che richiede il pagamento di un riscatto in Bitcoin di 300 dollari per ripristinare l’accesso ai propri dati. Un vero e proprio tentativo di ricatto digitale, da qui il nome ransomware, che utilizza i Bitcoin, moneta digitale praticamente irrintracciabile e spesso utilizzata anche per scopi illeciti.
Perche WannaCry si è diffuso così rapidamente e da dove arriva?
WannaCry è un malware in grado di diffondersi automaticamente all’interno di Internet sfruttando un bug del sistema operativo di Windows.
Non è necessario cliccare su un file arrivato tramite mail come accada in genere per i tradizionali virus/malware. Una volta entrato in uno dei computer, il ransomware infetta anche gli altri PC vulnerabili della Rete, senza alcun intervento umano.
WannaCry con tutta probabilità è stato realizzato da ignoti hacker partendo da uno strumento informatico che si ritiene sia stato sviluppato dalla National security agency statunitense (NSA), denominato Eternal Blue; diffuso il mese scorso da un gruppo di pirati informatici noto come Shadow Brokers.
Scendendo nel dettaglio, il cyber-attacco ha approfittato di una vulnerabilità del sistema operativo Windows, installandosi su Pc che non avevano scaricato gli aggiornamenti diffusi da Microsoft, a partire dal 14 marzo, proprio per difendere il suo OS da Eternal Blue.
Come difendersi da WannaCry?
Il Computer Emergency Response Team della Pubblica Amministrazione italiana (CERT-PA) ha affermato che “l’unica vera protezione dalla compromissione è l’eliminazione della vulnerabilità attraverso l’installazione della patch sviluppata e pubblicata da Microsoft”.
Il CERT-PA ricorda inoltre di non aprire email che arrivino da mittenti sconosciuti o con allegati inattesi, che potrebbero veicolare, in generale, software dannosi per il proprio PC.
Inoltre la Polizia postale ha rilasciato sul proprio sito un vademecum, destinato anche alle istituzioni, uffici pubblici ed ospedali con una serie di istruzioni dettagliate per evitare che i dati dei PC in rete vengano bloccati, in cambio di un riscatto.
La prima cosa da fare è mantenere sempre aggiornato il proprio PC, tramite Windows Update, in particolare controllando che sul computer sia stato installato l’update della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017.
Inoltre viene consigliato di aggiornare il software antivirus e disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP).
Visto che il ransomware attacca anche i backup dei dati memorizzati su cloud, è consigliabile tenere i dati sensibili isolati dalla Rete.
Infine per coloro che avessero ancora installato una vecchia versione del sistema operativo Windows, Microsoft ha messo a disposizione degli aggiornamenti dedicati da installare. Patch destinate a sistemi come Windows XP, non più supportati dall’azienda di Redmond.
E‘ consigliabile eseguire queste istruzioni il prima possibile visto che questa minaccia non è ancora stata debellata. Il 22enne, rimasto anonimo con il nome di Malware Tech che ha rallentato l’attacco di Wanna Cry, ha infatti avvertito dell’importanza di mettere al riparo i sistemi informatici, “Abbiamo fermato questo attacco, ma potrebbero essercene altri più complicati da fermare. Magari già da lunedì potrebbe essercene un altro”. Tesi sostenuta da tutti gli addetti ai lavori: il ricercatore Darien Huss di Proofprint ha affermato a riguardo alla Bbc ”Data l’altissima attenzione mediatica ricevuta dall’attacco, sospetto che ci siano già persone al lavoro per bissare l’azione”.
