Wana Decrypt0r 2.0: attacco ransomware feroce e su larga scala

Mag 12, 2017 Giancarlo Calzetta Attacchi, Malware, News, RSS 3

---

Un attacco ransomware su larga scala (chiamato Wannacry) è stato lanciato in tutta Europa nel primo pomeriggio del 12 maggio 2017. Telefonica e il servizio sanitario britannico sembrano in grossi guai.

 

Che il ransomware sia una piaga estremamente diffusa è risaputo, ma l’attacco lanciato oggi in Europa, noto come Wannacry, porta tutto a un livello diverso.

Le notizie sono ancora tutto sommato confuse e sembra che il grosso dell’attacco sia andato a segno sfruttando una delle falle teoricamente parte dell’arsenale NSA e rese pubbliche dall’organizzazione criminale Shadow Broker.

Nonostante, per il momento, questa sembri una campagna di ransomware come tante altre, la scala su cui è stata condotta, unita all’aggressività della falla sfruttata, è una novità importante che ha portato a conseguenze serie.

I Paesi più colpiti al momento sembrano essere, secondo quanto riporta G Data, Spagna e Russia, ma anche da UK arrivano notizie allarmanti.

In Spagna è stato colpito un server interno del carrier di telecomunicazioni Telefonica, che ha poi iniziato a diffondere il malware all’interno dell’organizzazione.

Al momento, si legge che gli amministratori di sistema hanno chiesto agli impiegati di spegnere i loro computer e smettere di usare le VPN interne per fermare la propagazione.

Telefonica, però, sembra essere in buona compagnia. Secondo Bleeping Computers, che cita El Pais ed El Mundo, ci sono infezioni in corso anche nelle aziende Gas Natural (fornitore di gas), Iberdrola (Fornitore di energia elettrica), Banca Santander (uno degli istituti di credito più grandi del Paese) e la società di consulenza KPMG.

Al momento, non si hanno notizie di interruzioni del servizio in Spagna causati da questo attacco in quanto sembra che i PC interessati siano tutti impiegati in settori amministrativo/aziendali.

Altrettanto non si può dire di quanto sta accadendo nel Regno Unito in quanto l’attacco ha interessato molti ospedali che non riescono a reagire bene al problema.

Secondo quanto riportato da The Register, molti ospedali britannici stanno rifiutando i pazienti che non versano in condizioni gravi proprio a causa dei computer bloccati dal malware Wana Crypt0r 2.0.

Alcuni dipartimenti del Servizio di Sanità Pubblico inglese ha rilasciato una nota nella quale si specifica che i computer del servizio sono stati spenti per contenere gli effetti di un attacco informatico su larga scala.

Ovviamente, molte società di sicurezza stanno monitorando la situazione ed è stato riportato che i portafogli bitcoin collegati a questa campagna stanno ricevendo pagamenti. Al momento non c’è alcuna ipotesi sul luogo d’origine della campagna né sulla distribuzione geografica delle origini dei pagamenti, anche se si sa che il ransomware è attivo in paesi sparsi in tutto il mondo.

Il malware, che non sembra esser stato diretto contro un bersaglio particolare e non sembra contenere altro che un ransomware, chiede 300 dollari in bitcoin per rilasciare i file presi in ostaggio.

Proprio il 21 di aprile, avevamo rilanciato l’allarme con un articolo in cui si diceva che oltre 40.000 computer risultavano infetti da Eternal Blue, il tool NSA rubato da Shadow Broker e distribuito nel libero dominio insieme a delle guide dettagliate su come usarlo.

Adesso, alcune stime pubblicate da ricercatori di sicurezza parlano di 36.000 computer colpiti dal ransomware e questo lascia pensare che una parte consistente potrebbe far parte proprio dei PC già infettati nei giorni scorsi su cui sarebbe stato rilasciato (o solo innescato) oggi il pericoloso payload.

Ricordiamo che la vulnerabilità SMB su cui fa leva Eternal Blu è già stata patchata da Microsoft nelle scorse settimane, ma anche che non è prevista alcuna patch per chiudere questa falla su Windows XP, un sistema operativo che è largamente usato, ancora, in molte organizzazioni statali, tra cui il servizio sanitario nazionale inglese.

 

Aggiornamento: I casi sembrano esser già lievitati a 50.000, secondo quanto riporta il blog di AVAST, e i paesi più colpiti per numero di infezioni sembrano essere Russia, Ucraina e Taiwan.

---

• Giancarlo Calzetta, Ransomware, wana decrypt0r

---

---