Attacco Wannacry, cosa fare?

L’attacco ransomware che ha colpito 99 paesi nel mondo potrebbe non essersi concluso, si attendono ora gli effetti del Wannacry 2.0.

Proprio in previsione di questo sgradito ritorno, ESET Italia ha deciso di condividere sul proprio blog l’analisi e le misure di sicurezza da adottare, per difendersi da questo pericoloso attacco ransomware, pubblicate nel documento ufficiale della Polizia Postale dedicato a questa emergenza informatica.

Secondo quanto affermato dalle autorità, dai primi accertamenti effettuati e dalle risultanze raccolte ad oggi, sebbene l’attacco sia presente nel nostro Paese dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le infrastrutture informatiche del Paese.

Analisi del processo di infezione

In generale i comportamenti rilevati vedono:

1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).
2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\Windows.
3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
4) La prima attività consiste nel cifrare i file con le seguenti estensioni:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139.
Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.
6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se abbia anche installato la backdoor DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxyaware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete. Tale anomalia forse è legata a una dimenticanza degli sviluppatori del malware, infatti molto probabilmente questa richiesta era una sorta di “sicura” sfruttata dai criminali per evitare di infettarsi a loro volta con il ransomware.

Crittografia dei file

Per quanto riguarda il processo di codifica la minaccia utilizza un sistema crittografico AES-128-CBC, con una chiave AES univoca per singolo file.

Il Wannacry evita di modificare i file contenuti nei seguenti percorsi, per non destabilizzare il sistema ospite:

“Content.IE5”
“Temporary Internet Files”
“\Local Settings\Temp”
“\AppData\Local\Temp”
“\Program Files (x86)”
“\Program Files”
“\WINDOWS”
“\ProgramData”
“\Intel”
“$”

I file codificati presentano il seguente formato:

typedef struct _wc_file_t {
char sig[WC_SIG_LEN]                       // 64 bit signature WANACRY!
uint32_t keylen;                                     // length of encrypted key
uint8_t key[WC_ENCKEY_LEN];    // AES key encrypted with RSA
uint32_t unknown;                               // usually 3 or 4, unknown
uint64_t datalen;                                 // length of file before encryption, obtained from GetFileSizeEx
uint8_t *data;                                       // Ciphertext Encrypted data using AES-128 in CBC mode
} wc_file_t;

Possibili sviluppi

Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “ WannaCry” 2.0,  ovvero al riavvio delle macchine per l’inizio della settimana lavorativa.

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Lato client/server

– eseguire l’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 Marzo 2017
– aggiornare il software antivirus – disabilitare ove possibile e ritenuto opportuno i servizi: Server Message Block
(SMB) e Remote Desktop Protocol (RDP)
– il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette
– il ransomware attacca sia share di rete che backup su Cloud quindi, per chi non l’avesse ancora fatto, aggiornare la copia del backup e tenere i dati sensibili isolati

Lato sicurezza perimetrale

– eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle intrusioni (IPS/IDS)
– ove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP)

ESET Italia non può che consigliare la massima prudenza nell’apertura delle email non attese o provenienti da mittenti sconosciuti e di mantenere costantemente aggiornati tutti i software installati nei computer, soprattutto i sistemi operativi e i programmi di protezione.