L’attacco globale iniziato lo scorso weekend e che ha colpito 99 paesi nel mondo, ha confermato quanto i ransomware siano ancora una delle minacce informatiche più pericolose degli ultimi anni.
Il WannaCry o WannaCryptor infatti è l’ultima evoluzione di questo particolare tipo di malware usato dai criminali per bloccare i file su smartphone, computer o altri dispositivi a scopo di estorsione, richiedendo un pagamento per consentire all’utente di utilizzarli nuovamente.
Queste minacce sono diventate un metodo estremamente diffuso con cui gli autori di malware tentano di estorcere denaro agli utenti. I ransomware si diffondono usando diverse tecniche, come il phishing o come in questo caso sfruttando le vulnerabilità dei sistemi operativi.
Fig.1 – Sportello automatico bloccato dopo l’azione malevola del WannaCry
ESET® classifica la maggior parte del malware che usa tattiche ransomware con il nome di “Filecoder” e nel caso specifico come Win32/Filecoder.WannaCryptor. Tale malware codifica determinati file, quindi chiede alla vittima di pagare un riscatto per ottenere la chiave di decodifica. Una volta che il pagamento è stato inviato e verificato, il programma il più delle volte decodifica i file. Se il pagamento non viene effettuato, la vittima potrebbe perdere i file e i dati in essi contenuti.
Fig.2 – Servizio aeroportuale compromesso dal ransomware
1. Come si diffonde il WannaCry
La diffusione avviene attraverso due meccanismi distinti. Uno fa uso di una botnet – ovvero una rete di computer infetti pilotati da remoto – inviando un’enorme quantità di e-mail di phishing che contengono allegati PDF (Portable Document Format), un formato molto diffuso per lo scambio di informazioni digitali. Una volta aperti, tali documenti attivano le macro di ulteriori documenti Microsoft Office inclusi nei file PDF allo scopo di scaricare da remoto ed eseguire il file principale del ransomware. Si parla di circa 5 milioni di e-mail inviate ogni ora, il che rende questo attacco attraverso spamming/phishing uno dei più massicci mai registrati.
Il secondo meccanismo di diffusione sfrutta una vulnerabilità nel protocollo SMB 1.0 (Server Message Block) di numerose versioni dei sistemi operativi Microsoft. La vulnerabilità SMB, eliminata da Microsoft già a marzo del 2017 e descritta nel bollettino MS17-010, è anche conosciuta come NSA EternalBlue, dal nome di un pacchetto di sofware di hacking presumibilmente creato da un gruppo di hacker della NSA (National Security Agency degli Stati Uniti d’America), l’Equation Group, per penetrare all’interno di sistemi vulnerabili in uno scenario di cyber warfare e in seguito distribuito su Internet da un altro gruppo di hacker conosciuto come The Shadow Brokers.
2. Processo di infezione
Il WannaCry si installa nella macchina da infettare e copia l’eseguibile mssecsvc.exe nella directory di sistema C:\Windows.
Si installa quindi come servizio e procede nelle sue attività utilizzando diversi eseguibili.
Per ciò che concerne la codifica dei file questo ransomware tenterà di criptare i file con le seguenti estensioni, usando un sistema crittografico AES-128-CBC, con una chiave AES univoca per singolo file:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.
Ma eviterà di modificare i file contenuti nei seguenti percorsi, per non destabilizzare il sistema ospite:
“Content.IE5”
“Temporary Internet Files”
“\Local Settings\Temp”
“\AppData\Local\Temp”
“\Program Files (x86)”
“\Program Files”
“\WINDOWS”
“\ProgramData”
“\Intel”
“$”
I file dopo la codifica presenteranno il seguente formato:
typedef struct _wc_file_t {
char sig[WC_SIG_LEN] // 64 bit signature WANACRY!
uint32_t keylen; // length of encrypted key
uint8_t key[WC_ENCKEY_LEN]; // AES key encrypted with RSA
uint32_t unknown; // usually 3 or 4, unknown
uint64_t datalen; // length of file before encryption, obtained from GetFileSizeEx
uint8_t *data; / / Ciphertext Encrypted data using AES-128 in CBC mode
} wc_file_t;
3. Rilevazione ESET
Prima di diffondere i loro malware, gli autori di solito verificano che i campioni non siano rilevati dai classici metodi di identificazione statica, usati dalla maggior parte dei software antivirus. Pertanto, la protezione dell’utente dovrà avere un approccio multi-livello, con tecnologie studiate per rilevare proattivamente i comportamenti pericolosi e con soluzioni basate sul Cloud.
Le soluzioni antimalware ESET garantiscono diversi livelli di sicurezza proattiva e sono in grado di rilevare e bloccare efficacemente tutte le varianti di WannaCry. In tutti i casi, l’antivirus deve essere aggiornato con le ultime firme antivirali e Live Grid®, il servizio Cloud per la reputazione dei file di ESET, deve essere abilitato per migliorare i tempi di reazione e assicurare la massima protezione. Si raccomanda anche di usare le ultime versioni del software per poter sfruttare la protezione fornita dall’Exploit Blocker, dallo Scanner di Memoria Avanzato e l’ultima tecnologia esclusiva ESET dedicata espressamente ai ransomware, introdotta proprio per impedire a minacce come il WannaCry di codificare i file, il Ransomware Shield.
Ovviamente i software antimalware non sono in grado di sostituirsi ad altre attività critiche di protezione, come ad esempio mantenere aggiornate tutte le applicazioni del sistema, effettuare dei backup periodici, seguire una linea di condotta adeguata ed educare gli utenti a evitare attacchi di ingegneria sociale.
Per assicurarsi che i prodotti di sicurezza ESET siano correttamente configurati, seguire quanto riportato:
A. Aggiornare il prodotto ESET
Nuove versioni di ransomware vengono rilasciate frequentemente, è importante quindi che i computer ricevano regolarmente gli aggiornamenti antivirus per assicurarsi di non essere vulnerabili a queste infezioni. I prodotti ESET verificano la presenza degli aggiornamenti ogni ora, se forniti di una licenza valida e di una connessione a Internet.
B. Abilitare lo Scanner di Memoria Avanzato, l’Exploit Blocker e la Protezione Anti-Ransomware
Queste nuove tecnologie progettate da ESET migliorano la protezione dai malware che usano tecniche di offuscamento crittografico per non essere rilevati. Lo scanner di memoria avanzato controlla i comportamenti sospetti dei malware quando tentano di caricarsi in memoria, l’Exploit Blocker verifica i processi cercando i tipici comportamenti degli exploit, mentre la Protezione Anti-Ransomware (Ransomware Shield) è in grado di rilevare e bloccare tutti i processi malevoli che tentando di crittografare i dati contenuti nel sistema.
C. Abilitare Live Grid
In alcuni casi, i prodotti ESET con ESET Live Grid abilitato possono rispondere più velocemente alle nuove minacce rispetto alla rilevazione basata su firme antivirali, persino quando i database antivirus vengono aggiornati in maniera regolare.
4. Prevenzione e protezione
I file criptati possono essere considerati come danneggiati in maniera irreparabile. Si raccomanda di seguire quanto riportato per ridurre al minimo l’impatto che i ransomware, come il WannaCryptor, possono avere sul sistema e sui dati ivi contenuti. Se il sistema è stato adeguatamente preparato e messo in sicurezza, il rischio di perdere i dati si riduce in modo significativo.
A. Back up dei dati
La strategia di base ed essenziale per difendersi dai malware è avere un backup costantemente aggiornato. Occorre ricordare che un ransomware codificherà anche i file sui dischi di rete a cui si è assegnata una lettera e a volte anche quelli a cui non è stata assegnata. Ciò include qualsiasi drive come quelli USB, come anche ogni archivio di rete o nel Cloud. Quindi è fondamentale un regime di backup periodico che sia basato su dispositivi che non siano costantemente connessi alla rete.
B. Mostrare le estensioni nascoste dei file
Spesso un ransomware arriva in un file con estensione “.PDF.EXE”. Ciò sfrutta il comportamento predefinito di Windows in cui le estensioni note dei file sono nascoste. Ripristinando la capacità di vedere le estensioni dei file sarà più facile notare i file sospetti.
C. Filtrare i file EXE nelle email
Se il vostro scanner mail sul gateway ha la capacità di filtrare i file per estensione, potreste bloccare le email che abbiano come allegato file “.EXE”, o quelle che presentano allegati con doppia estensione di cui l’ultima eseguibile (file “*.*.EXE”, definiti nel filtro). Se gli utenti aziendali dovessero avere bisogno di scambiare legittimamente file eseguibili, potranno farlo con archivi .ZIP protetti da password o per mezzo dei servizi in Cloud.
D. Non aprire allegati o fare clic su link presenti in email o messaggi inattesi
Un classico metodo di infezione è quando un utente apre l’allegato di una mail non attesa o quando fa clic su un link contenuto in una mail che sembra provenire da una banca o da un servizio di recapiti. Gli utenti dovrebbero essere istruiti a non aprire allegati, link o file contenuti in email sospette o provenienti da contatti sconosciuti.
E. Disabilitare l’esecuzione dei file contenuti nelle cartelle AppData/LocalAppData
Un particolare comportamento di alcuni ransomware è avviare i file eseguibili dalle cartelle AppData o Local AppData. Potrete creare delle regole in Windows o nel software anti intrusione da voi utilizzato per bloccare tali comportamenti. Se per alcune ragioni dei software legittimi vengono eseguiti dalla cartella AppData piuttosto che dalla solita area Program Files, vi basterà escluderli da questa regola.
F. Disabilitare RDP
I malware Cryptolocker/Filecoder spesso accedono alle macchine delle vittime usando il protocollo di Desktop Remoto (RDP), uno strumento Windows che consente ad altri di accedere da remoto ai desktop. I cybercriminali sanno bene come autenticarsi attraverso una sessione RDP e quindi disabilitare il software di sicurezza. I software di sicurezza ESET includono strumenti di autoprotezione per difendersi, ma la prassi migliore è disabilitare l’RDP a meno che non se ne abbia necessità. Per le istruzioni su come disabilitare questa funzione potrete leggere i relativi articoli della Knowledge Base di Microsoft.
G. Aggiornare tutti i software
Gli autori di malware sfruttano spesso le vulnerabilità note di alcuni
software, solitamente usati da utenti che purtroppo non li tengono aggiornati. Potrete ridurre in maniera significativa il rischio legato ai ransomware aggiornando spesso i vostri software. Alcuni produttori rilasciano regolarmente aggiornamenti di sicurezza (Microsoft e Adobe li rilasciano ogni secondo martedì del mese), ma talvolta vi sono aggiornamenti “eccezionali” o non pianificati, se possibile rendeteli automatici o andate direttamente sui siti dei produttori.
H. Utilizzare una suite di sicurezza affidabile
Gli autori di malware diffondono frequentemente nuove varianti per evitare la rilevazione, questo è il motivo per cui è molto importante avere molteplici livelli di protezione. Persino dopo aver infettato il sistema molti malware attendono istruzioni da remoto per avviare le loro attività malevole. Se si è stati colpiti da una variante di ransomware così nuova da aver superato le difese dell’antimalware, potrebbe essere possibile intercettarlo quando tenta di ricevere informazioni dal suo server di comando e controllo (C&C) per la codifica dei file. L’ultima suite dei software ESET fornisce un modulo di protezione botnet che blocca il traffico pericoloso intercettando le comunicazioni ai server C&C.
I. Utilizzare il ripristino di sistema per tornare all’ultimo stato pulito conosciuto
Se su Windows avete abilitato il ripristino di sistema, potrebbe essere
possibile tornare a uno stato precedente non infetto e ripristinare i file codificati dalle loro copie “Shadow”. Ma bisogna muoversi velocemente, perché i nuovi ransomware hanno la capacità di eliminare i file “Shadow” dal ripristino di sistema. Questi malware inizieranno a eliminare i file “Shadow” al primo avvio, e l’utente potrebbe addirittura non rendersi conto di quanto accade visto che gli eseguibili possono essere avviati senza l’intervento dell’operatore, come un qualsiasi processo di sistema.
J. Utilizzare un account standard invece di uno amministratore
Utilizzare un account con privilegi di amministratore di sistema è sempre un rischio per la sicurezza, perché così il malware può avviarsi usando i medesimi privilegi e infettare il sistema più facilmente. Assicurarsi che gli utenti usino sempre un account con privilegi limitati per le attività quotidiane e utilizzare l’account amministratore solo quando è assolutamente necessario. Non disabilitare il controllo account utente.
K. Porre attenzione alla formazione dei dipendenti sulla sicurezza
Uno dei più comuni vettori di infezione è l’ingegneria sociale – metodi basati sull’inganno per tentare di convincere gli utenti ad avviare file eseguibili. La corretta formazione dei dipendenti rappresenta un pilastro della sicurezza aziendale.
1 Commento