Ransomware: un’invasione massiccia colpisce i computer in 99 paesi

Un massiccio cyber-attacco, che utilizza strumenti probabilmente rubati dall'Agenzia Nazionale per la Sicurezza Nazionale (NSA), ha colpito in queste ore le organizzazioni di tutto il mondo. Il ransomware WannaCry infetta PC non aggiornati.

Avast ha dichiarato di aver visto 75.000 casi del ransomware, noto come WannaCry (e varianti di quel nome), in tutto il mondo.
Ci sono segnalazioni di infezioni in 99 paesi, tra cui Russia, Cina e Italia. Tra i paesi che sono maggiormente colpiti ci sono l’Inghilterra e la Scozia; il ransomware ha raggiunto, infatti, il National Health Service (NHS) e alcune pratiche mediche sono state interessate dal virus, con operazioni e appuntamenti annullati.

Ransomware: uninvasione massiccia colpisce i computer in 99 paesi Schermata 2017 05 13 alle 11.23.55 TechNinja

Come si è svolto il cyber-attacco?

Il malware si è diffuso rapidamente nella giornata di ieri, quando il personale sanitario nel Regno Unito riferisce di aver visto tutti i computer crollare uno ad uno. Lo staff del NHS ha condiviso alcuni screenshot del programma WannaCry che ha richiesto un pagamento di  300 dollari in Bitcoin virtuale per sbloccare i file.

Ransomware: uninvasione massiccia colpisce i computer in 99 paesi Schermata 2017 05 13 alle 11.17.31 TechNinja
Questo non è solo capitato nel Regno Unito, ma anche in altri paesi europei; sono state colpite alcune grandi aziende spagnole, tra cui il gigante delle telecomunicazioni Telefonica, la società elettrica Iberdrola e il fornitore di servizi Gas Natural.
Sono caduti sotto WannaCry anche Portugal Telecom, la società di consegna FedEx e un’autorità locale svedese.
Uno dei paesi che più ha risentito di questo attacco è stato la Russia, dove le banche nazionali, i ministeri dell’interno e della sanità, la società ferroviaria russa di proprietà statale e la seconda rete di telefonia mobile sono stati tutti stati colpiti. Il ministero degli interni russo ha detto che sono stati infettati 1.000 computer, ma che il virus è stato trattato rapidamente e non vi è stata alcuna compromissione di dati sensibili.
La Cina non ha ufficialmente commentato gli attacchi, ma i commenti sui social hanno parlato di diversi problemi in un laboratorio informatico universitario.

Come funziona il malware e chi c’è dietro?

Le infezioni sembrano essere inviate tramite un Worm, ovvero un programma che si diffonde da solo tra i computer.

Conosciuto anche sotto il nome di Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2, il ransomware non si diffonde tramite mail di phishing, ma sfrutta una vulnerabilità di alcuni sistemi Windows.

Ransomware: uninvasione massiccia colpisce i computer in 99 paesi diffusione ransomware wannacry wcry 700x431 TechNinja

E in Italia?

Wannacry sfrutta un exploit denominato EternalBlue, una vulnerabilità di cui Microsoft aveva fornito la correzione il 14 marzo 2017 con una “Security Update for Microsoft Windows SMB Server (4013389)”.

Questo sta a significare che chi è stato colpito dal virus non aveva aggiornato il sistema; per tale motivo, i più colpiti sono gli enti pubblici che, molto spesso, si servono ancora di Windows XP. Una volta infettate, le vittime vedono i propri file bloccati e rinominati con l’aggiunta dell’estensione .WCRY, oltre ad una richiesta di riscatto all’interno di un file @Please_Read_Me@ che cita:

Ransomware: uninvasione massiccia colpisce i computer in 99 paesi Schermata 2017 05 13 alle 11.36.36 TechNinja

La richiesta di riscatto è rilasciata in diverse lingue e, solo dopo aver pagato, sul PC sarà presente il software Wana Decryptor, una sorta di antidoto per ripristinare i propri file.

Ransomware: uninvasione massiccia colpisce i computer in 99 paesi wana decryptor wannacry ransomware 700x530 TechNinja

Come difendersi?

Al momento, l’unica cosa da fare è aggiornare le versioni più vulnerabili di Windows, seguendo le indicazioni pubblicate da società di sicurezza come Alienvault o SecureList che indicano alcune contromisure per proteggersi e difendersi da WannaCry.