Si stavano ancora leccando le ferite del pesante attacco di WannaCry, che coinvolse molti paesi, Italia inclusa, e produsse danni rilevanti ad aziende ed enti pubblici, come nel caso del servizio sanitario britannico. Oggi i malintenzionati sono tornati a colpire, sempre con la stessa modalità, ovvero un ransomware. Sul nome ci sono però ancora divergenze, sebbene in ogni caso risulti meno evocativo rispetto all’esplicito WannaCry.

L’offensiva, come spiega The Verge, ha avuto origine in Ucraina, colpendo banche, società di telecomunicazioni, trasporti pubblici e, molto più preoccupante, i sistemi di gestione delle centrali nucleari, inclusa quella di Chernobyl. La buona notizia, se così si può dire, è che l’unica strumentazione messa KO è quella relativa alla misurazione delle radiazioni, che verrà effettuata manualmente sino al ripristino dei computer. Dall’Ucraina il ransomware si è esteso alla vicina Russia, causando non poche tensioni politiche in aggiunta a quelle già esistenti tra i due Paesi (si stanno già accusando reciprocamente dell’attacco). A Mosca la principale azienda colpita è stata Rosneft, attiva nel settore petrolifero. Si registrano infezioni anche negli USA, in particolare presso società farmaceutica Merck e in quella alimentare Mars, nel Regno Unito, all’agenzia pubblicitaria WPP, e in Danimarca, col colosso di trasporti Maersk messo in difficoltà. Si parla di attacchi pure a varie realtà italiane.

Il nuovo ransomware sfrutta in parte le tecniche già adottate da WannaCry, pur non essendone direttamente “parente”: all’origine viene sfruttato infatti un exploit originariamente concepito dalla NSA, EthernalBlue, che sfrutta vulnerabilità di Windows relative al protocollo di rete SMB. Le cose sono state poi complicate da ulteriori falle sia del sistema operativo sia di software terzi. Al di là delle successive differenze tecniche, l’obiettivo rimane lo stesso. I file presenti sul computer vengono codificati e il ransomware si presenta all’utente chiedendo un riscatto in valuta digitale Bitcoin per riottenerli indietro. Tradotto in moneta reale, si parla di $300 per ogni vittima. Originariamente si pensava si trattasse di un programma malevolo già noto alle aziende di sicurezza, denominato Petya, tuttavia Kaspersky ha precisato che si tratta di un’altra minaccia, slegata e sinora sconosciuta.

A complicare la situazione è il fatto che i file non sono in realtà davvero recuperabili. L’indirizzo email riportato dai malviventi nelle istruzioni del ransomware è stato infatti disattivato, rendendo così impossibile notificare loro l’avvenuto pagamento da parte degli utenti. I BitCoin sono infatti pensati per garantire l’anonimato tra le parti. Per coloro che in queste prime ore di attacco hanno complessivamente già pagato $5000 nella speranza di riprendere possesso dei propri dati la situazione è purtroppo tutt’altro che semplice da risolvere. Alla codifica AES-128 sui dati viene aggiunta una chiave RSA-2048, che rende la decrittazione molto difficile al di fuori degli autori stessi del programma. La sola speranza è quindi aver fatto un backup in precedenza.

Da molti questo nuovo ransomware viene considerato ancor più pericoloso di WannaCry. In primis, la confusione sulla provenienza tecnica e geografica sta causando grattacapi agli esperti di sicurezza nel trovare un rimedio alla minaccia. Oltre a ciò, rispetto al precedente attacco il computer viene reso completamente inutilizzabile, visto che il messaggio di avvenuta infezione è mostrato al riavvio del PC, come si può vedere nel tweet sottostante. Riavvio che non avviene subito: il ransomware inserisce in Windows un’operazione pianificata di reboot entro 60 minuti dall’infezione.

Microsoft ha già rilasciato svariate altre patch, in aggiunta a quelle già pubblicate per WannaCry il mese scorso, e le ha rese disponibili pubblicamente pure per le versioni di Windows non più supportate, come XP. Purtroppo però la gestione degli aggiornamenti rimane un punto debole per diverse realtà, lasciando terreno fertile ai malintenzionati per colpire. Oltre a ciò, pare che nemmeno un sistema totalmente aggiornato e dotato di protezioni antimalware sia sufficiente: il ransomware può infatti propagarsi anche su essi sfruttando le funzionalità WMI (note in italiano come chiamate remote di amministrazione) e PsExec (uno strumento della suite di Sysinternals, sviluppata da Microsoft, che permette di eseguire il prompt dei comandi da remoto). Come misure preventive per gli utenti finora non colpiti vengono suggeriti interventi alle regole del firewall, restringendo la condivisione file tramite il protocollo SMB, e maggiori limiti per gli account che hanno accesso ai computer affinché il programma malevolo non possa essere eseguito. Ad ulteriore nota a margine, un aspetto per fortuna a sfavore degli attaccanti è che lo spreader, il componente che si occupa di diffondere l’infezione, agisce solo sulle reti locali e non scansiona anche internet.

La situazione è comunque in continua evoluzione e l’auspicio è che nelle prossime ore l’attacco venga neutralizzato, insieme allo sviluppo di una soluzione facile e sicura per il recupero dei file. In caso di novità importanti non mancheremo di ritornare sull’argomento, tramite un ulteriore articolo o con aggiornamenti social. Nel frattempo, chi fosse interessato ad ulteriori approfondimenti tecnici può leggere l’analisi approfondita pubblicata in inglese da Kaspersky.

Articolo aggiornato: un grande ringraziamento a Gabriele per le importanti precisazioni fornitemi.