In queste ore si stanno diffondendo rapidamente diverse varianti di una famiglia di ransomware denominata Win32/Filecoder.WannaCryptor, conosciuta anche come Jaff, dal nome delle estensioni dei file crittografati dal malware. La diffusione avviene attraverso due meccanismi distinti. Uno fa uso di una botnet – ovvero una rete di computer infetti pilotati da remoto – inviando un’enorme quantità di e-mail di phishing che contengono allegati PDF (Portable Document Format), un formato molto diffuso per lo scambio di informazioni digitali. Una volta aperti, tali documenti attivano le macro di ulteriori documenti Microsoft Office inclusi nei file PDF allo scopo di scaricare da remoto ed eseguire il file principale del ransomware. Si parla di circa 5 milioni di e-mail inviate ogni ora, il che rende questo attacco attraverso spamming/phishing uno dei più massicci mai registrati.
Il secondo meccanismo di diffusione sfrutta una vulnerabilità nel protocollo SMB 1.0 (Server Message Block) di numerose versioni dei sistemi operativi Microsoft. La vulnerabilità SMB, eliminata da Microsoft già a marzo del 2017 e descritta nel bollettino MS17-010, è anche conosciuta come NSA EternalBlue, dal nome di un pacchetto di sofware di hacking presumibilmente creato da un gruppo di hacker della NSA (National Security Agency degli Stati Uniti d’America), l’Equation Group, per penetrare all’interno di sistemi vulnerabili in uno scenario di cyber warfare e in seguito distribuito su Internet da un altro gruppo di hacker conosciuto come The Shadow Brokers.
Data la gravità della situazione, nelle ultime ore Microsoft ha rilasciato una ulteriore patch per tale vulnerabilità anche per i sistemi Windows usciti dal ciclo degli aggiornamenti, quali Windows XP:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Al momento, si registrano infezioni in almeno 99 diversi paesi, tra cui Inghilterra, Spagna, Portogallo, Russia, Italia, Giappone, USA, Turchia e Filippine. Una delle infezioni più gravi sembra riguardi l’Inghilterra, dove sono stati interessati degli istituti di salute pubblica.
Il ransomware è particolarmente aggressivo e crittografa 423 tipi diversi di file selezionandoli in base alle loro estensioni. Una volta crittografati i file, per ottenere l’invio di una chiave di decrittazione utile per ripristinare il contenuto originale dei file, il software malevolo richiede un riscatto oneroso in Bitcoin (per un valore variabile da 600 a 3000 euro circa), la nota cripto-moneta, pagabili attraverso la rete Tor (The Onion Router) per assicurare una difficile rintracciabilità degli autori del malware.
Al momento non si conoscono strumenti utili per ripristinare i file crittografati. “Per evitare l’infezione dei propri sistemi informatici è di capitale importanza seguire alcune semplici indicazioni, considerando che Microsoft aveva già messo a disposizione a marzo di quest’anno una patch per eliminare la vulnerabilità SMB sfruttata dal malware e che un’attenta politica di aggiornamento dei sistemi sarebbe stata sufficiente per bloccare alla fonte almeno uno dei meccanismi sfruttati dal malware per diffondersi”, osserva Paolo Monti, titolare e CTO di Future Time – ESET Italia
- Nel caso in cui non si sia già provveduto, aggiornare immediatamente il proprio sistema operativo o installare la patch emergenziale rilasciata il 13 maggio 2017 da Microsoft (vedere sopra) nell’eventualità in cui per qualche motivo si usi un sistema operativo obsoleto.
- Se necessario, abilitare/modificare la configurazione del proprio firewall per bloccare l’accesso SMB. Le porte interessate sono quelle TCP 137, 139 e 445 e quelle UDP 137 e 138
- In caso si desiderasse disabilitare completamente SMB, è possibile seguire questa guida pubblicata da Microsoft
- Aggiornare il proprio software antivirus e nei prodotti ESET assicurarsi di abilitare Live Grid, il nostro sistema di early warning e di machine learning nel cloud, particolarmente efficace per bloccare nuove minacce informatiche
- In via più generale, effettuare dei backup dei propri dati e come sempre evitare di cliccare su allegati di posta elettronica sospetti.
1 Commento