Wannacry: interrogativi e certezze

Malware: Worm – Ransomware

Vettore iniziale di infezione: Anche se inizialmente si era ipotizzata una diffusione attraverso strumenti di phishing legati all’uso non attento e non sufficientemente tutelato della posta elettronica o attraverso altre tecniche di social engineering usuali per questo tipo di malware, ad oggi non ci sono ancora dati certi con i quali identificare univocamente il vettore di infezione iniziale. In alcuni casi specifici, non avendo evidenze certe di un vettore primario di infezione, per esclusione, diventa plausibile che le infezioni vengano prodotte anche attraverso l’uso di APT (advanced persistent threat) opportunatamente deposti in attesa di essere utilizzati.

Modalità di propagazione worm: una volta infettata una macchina “wannacry” esegue una scansione casuale degli indirizzi ip fino a trovare, se esistenti, sistemi vulnerabili adiacenti e raggiungibili dove inserire ed eseguire velocemente il codice malevolo compromettendo quanti più computer possibili.

Vulnerabilità sfruttata: “EternalBlue”, una delle vulnerabilità che il servizio segreto americano NSA utilizzava come varco per innestare software di controllo nei computer con sistemi operativi Microsoft, l’exploit utilizza la vulnerabilità descritta da Microsoft con il nome MS17-010 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/   (link al catalog delle patch corretto http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)

Una “Digital Weapon”: questa vulnerabilità fa parte di un più esteso archivio di tools e informazioni, parzialmente rese pubbliche, recentemente sottratte a NSA e nella loro interezza messe sul mercato illegale da un gruppo di hacker (The shadow Brokers) di probabile localizzazione russa, queste informazioni e questi tool sono da considerare estremamente pericolosi e sono identificabili come delle vere e proprie Digital Weapons (Armi Digitali) in grado di attaccare i sistemi informatici con estrema efficienza.

Polemica Microsoft: al netto delle ipotesi complottiste, Microsoft con grande velocità e impegno ha sviluppato le patch per arginare l’uso di questa vulnerabilità sui propri sistemi, inoltre con grande responsabilità ha sviluppato e diffuso le patch anche per quei sistemi che erano stati recentemente dichiarati non più supportati (xp , srv 2003) , nel contempo per voce del suo Chief Legal Officer Brad Smith la stessa Microsoft ha deprecato l’atteggiamento degli stati centrali che ad opera dei loro servizi segreti scoprono delle vulnerabilità senza condividerne le informazioni: «Questo attacco è un ulteriore esempio di come la catalogazione e conservazione di vulnerabilità dei sistemi da parte del governo sia un problema… dalle mani delle amministrazioni sono passate al dominio pubblico e hanno causato un danno enorme» https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0000cl1kyrbh4edhv5n258cj12dwr  «Questo attacco rappresenta un collegamento sconcertante anche se non voluto, tra le due più pericolose minacce di cybersicurezza nel mondo: le azioni degli Stati e quelle della criminalità organizzata»

Alcune Ipotesi

L’origine

Alcuni indizi, non solo tecnologici ma anche derivanti dal momento geopolitico, portano a pensare che l’origine di questo malware sia da ricercare in un ambito di cyberwar piuttosto che in un ambito di “normale” pirateria informatica.

Si tratta di un attacco “dimostrativo” o di uno “stress test” per verificare la risposta delle infrastrutture? questa vulnerabilità e il suo exploit-kit sono l’unica arma digitale in possesso di questo attaccante?

Primo indizio: Un ricercatore di Google (Neel Mehta) ha trovato nella struttura dell’exploit elementi di codice riconducibili ad un precedente attacco la cui localizzazione era quasi certamente la Repubblica Popolare del Nord Corea ( una backdoor creata dal Lazarus Group, un gruppo di hacker collegato al governo Nord Coreano che aveva attaccato la Sony al tempo della diffusione del film satirico sul nuovo leader Kim Jong-un ) http://thehackernews.com/2017/05/wannacry-lazarus-north-korea.html

Secondo indizio: la scarso successo economico, Considerando i dati provenienti da più fonti fra le quali  Ransom Tracker https://twitter.com/ransomtracker , profilo twitter che con dedizione si prodiga a osservare i ransomware e la loro efficacia in termini di guadagni , è da notare quanto sia strano il divario fra la grande diffusione di questo malware e la sua esigua raccolta in denaro, questo aspetto non torna negli schemi di un virus writer che lavora per massimizzare il guadagno. Quindi la domanda è “cui prodest?” …a chi giova tutto questo? 2017-05-18 16_08_21-Ransom Tracker (@ransomtracker) _ Twitter - Copia

Terzo indizio: la presenza di “kill switch” , a partire dalla prima versione nel codice delle di wannacry sono inclusi dei cosiddetti “kill switch” ovvero interruttori che possono essere utilizzati per fermare la diffusione del malware, un sistema concettualmente elegante di controllare un malware che normali virus writer non avrebbero mai avuto interesse ad inserire … e che invece chi usa questi strumenti come armi digitali generalmente introduce per evitare che gli si ritorcano contro…

Per rimanere aggiornati a riguardo dell’origine di questo malware: https://twitter.com/hashtag/WannaCryptAttribution?src=hash

Effetti Benefici

Confermando il teorema che ogni ogni difficoltà o evento negativo o momento di crisi sono in realtà un’opportunità di cambiamento positivo,  l’ENISA , ovvero l’organismo centrale europeo dedicato alla sicurezza delle informazioni digitali (https://www.enisa.europa.eu/about-enisa) per la prima volta dalla sua costituzione ha generato una collaborazione degli stati membri finalizzata ad arginare e contrastare l’attività del ransomware Wannacry (https://www.enisa.europa.eu/news/enisa-news/wannacry-ransomware-first-ever-case-of-cyber-cooperation-at-eu-level).

L’onore delle cronache e il clamore che ha suscitato questa ondata di malware ha indubbiamente portato all’attenzione di tutti la necessità di mantenere i sistemi aggiornati ben gestiti e controllati, oggi i sistemi informatici sono parte fondamentale della nostra vita, del nostro lavoro e del nostro benessere. Questa serie di avvenimenti ha contribuito ad aumentare questa consapevolezza. Fra i tanti interrogativi senza risposta che questa vicenda lascerà alla storia ne rimane uno a cui dobbiamo però trovare una risposta, questi avvenimenti serviranno a non farci cogliere impreparati nel futuro?

-http://www.cybersecurityframework.it/sites/default/files/csr2016web.pdf
– http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03095USEN

– https://threatmap.bitdefender.com/
– https://cybermap.kaspersky.com/http://map.norsecorp.com/#/
– https://intel.malwaretech.com/
– Mappa live della diffusione di wannacry e famiglia https://intel.malwaretech.com/WannaCrypt.html
– Mappa con ricostruzione cronologica della diffusione di wannacry https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?_r=1

– https://www.wired.it/gadget/computer/2017/05/16/biopsia-wannacry-ransomware-del-momento/?utm_source=facebook.com&utm_medium=marketing&utm_campaign=wired
– https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
– https://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
– https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-info-and-technical-nose-dive/
– https://exchange.xforce.ibmcloud.com/collection/WCry2-Ransomware-Outbreak-8b186bc4459380a5606c322ee20c7729
– http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html?m=1 – —
– https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
– http://www.lastampa.it/2017/05/15/tecnologia/news/quattro-cose-da-sapere-ancora-su-wannacry-JLDQytXsyl3fA1bWoONfCJ/pagina.html
– http://punto-informatico.it/4386422/PI/News/wannacry-analisi-tecnica-del-ransomware.aspx
– https://sputniknews.com/science/201705171053709121-wannacry-cyberattack-false-flag/

Cyber Security Evidenza

 

Related Posts

Pin It on Pinterest