WannaCry” o “WannaCryptor” è il nome dato al ransomware che, secondo i ricercatori di Kaspersky Lab che hanno analizzato i dati, ha infettato almeno 45.000 computer in 74 paesi del mondo, la maggior parte in Russia.

L’attacco è partito il 12 maggio dagli ospedali inglesi per poi diffondersi in tutto il mondo come il costruttore di automobili Renault, il sistema bancario russo, il gruppo logistico americano FedEx, la compagnia di telecomunicazioni Telefonica, la compagnia ferroviaria statale tedesca Deutsche Bahn e diverse università in Grecia e in Italia.wannacry_04mappa

Dalla Russia alla Spagna e dal Messico al Vietnam, il programma ha infettato numerosi computer anche in Europa bloccando le cartelle degli utilizzatori costringendoli a pagare un riscatto di 300 dollari (275 euro) in cambio di una chiave che permette di sbloccare i files criptati. Il riscatto è richiesto in Bitcoins, una moneta virtuale difficile da tracciare.

Il ransomware infetta le vittime sfruttando una vulnerabilità di Microsoft Windows descritta e risolta nel Microsoft Security Bulletin MS17-010. L’exploit utilizzato, “Eternal Blue”, è stato rivelato nel deposito Shadowbrokers il 14 aprile. Una volta all’interno del sistema, i criminali installano un rootkit, che consente loro di scaricare il software per crittografare i dati. Il malware crittografa i file. wannacry_05_1024x774

Gli esperti di Kaspersky Lab stanno cercando di determinare se è possibile decrittografare i dati bloccati nell’attacco allo scopo di sviluppare quanto prima uno strumento di decriptaggio.

Le soluzioni di protezione di Kaspersky Lab rilevano i malware utilizzati in questo attacco dai seguenti nomi di rilevamento:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (il componente System Watcher deve essere abilitato)

Raccomandiamo di prendere le seguenti misure per ridurre il rischio di infezione:

  • Installare  la patch ufficiale  di Microsoft che chiude la vulnerabilità usata per l’attacco;
  • Assicurarsi che le soluzioni di protezione siano attivate su tutti i nodi della rete;
  • Se si utilizza la soluzione Kaspersky Lab, accertarsi che includa il System Watcher, un componente di rilevamento proattivo del comportamento e che sia acceso;
  • Eseguire il più presto possibile la Scansione Area Critica nella soluzione di Kaspersky Lab per rilevare le possibili infezioni (altrimenti verrà rilevato automaticamente, se non spento, entro 24 ore);
  • Riavviare il Sistema se si rileva MEM: Trojan.Win64.EquationDrug.gen;
  • Utilizzare i servizi Customer-Specific Threat Intelligence Reporting.

Una descrizione dettagliata del metodo di attacco WannaCry e gli indicatori di compromissione sono disponibili nel blogpost di Securelist.

Vuoi ricevere maggiori informazioni sulle soluzioni di Security? Il nostro Team di specialisti è a tua disposizione! Contattaci a: softwareteam@techdata.it oppure allo 02-98495564