Skip to content

-🔥 3 cose fondamentali che dovresti sapere sull’attacco ransomware WannaCry 🔥-

3 de Aprile de 2021

Gli attacchi Ransomware, con il nome WannaCry, sono stati segnalati in tutto il mondo da esperti di sicurezza informatica venerdì e sono stati emessi diversi avvisi che implicano maggiori misure di sicurezza sui dispositivi connessi al Web, poiché si prevede una seconda ondata di attacchi questa settimana.

Gli attacchi ransomware – acrobazie di un hacker decennale – hanno colpito principalmente Russia, Ucraina, Spagna, Regno Unito e Spagna.

Altri paesi come Stati Uniti, Brasile, Cina, tra gli altri in Nord America, America Latina, Europa e Asia sono stati colpiti dall’attacco ransomware.

Il ransomware crittografa i file su un dispositivo utilizzando l’estensione .wcry e viene avviato mediante l’esecuzione remota del codice SMBv2 (Server Message Block versione 2).

Leggi anche: Cos’è il ransomware e come proteggerti da esso? e Gli smartphone sono vulnerabili agli attacchi di WannaCry Ransomware?

Il team di ricerca e analisi globale di Kaspersky Lab ha osservato che “i computer Windows senza patch che espongono i loro servizi SMB possono essere attaccati in remoto” e che “questa vulnerabilità sembra essere il fattore più significativo che causa l’epidemia”.

Il gruppo di hacker Shadow Brokers è responsabile di rendere disponibile su Internet il software dannoso per eseguire questo attacco il 14 aprile.

Quanto è diffuso l’attacco?

L’impatto completo di questo attacco è ancora sconosciuto, poiché gli esperti di sicurezza informatica si aspettano che ulteriori ondate di attacco interessino più sistemi.

Secondo un rapporto del New York Times, l’attacco ha preso il controllo di oltre 200.000 computer in più di 150 paesi.

Sono state colpite aziende e agenzie governative come i ministeri russi, FedEx, Deutsche Bahn (Germania), Telefónica (Spagna), Renault (Francia), Qihoo (Cina) e il Servizio sanitario nazionale britannico.

Anche il team spagnolo di risposta alle emergenze informatiche (CCN-CERT) ha richiesto un alto livello di allerta nel paese, poiché afferma che le organizzazioni potrebbero essere state colpite dal ransomware.

“Il software dannoso WannaCrypt si è diffuso rapidamente in tutto il mondo ed è derivato da exploit rubati dalla NSA negli Stati Uniti. Microsoft aveva rilasciato un aggiornamento per la protezione per correggere questa vulnerabilità, ma molti computer sono rimasti privi di patch in tutto il mondo “, ha affermato Microsoft.

Finora sono stati interessati i seguenti programmi:

  • Windows Server 2008 per sistemi a 32 bit
  • Windows Server 2008 per sistemi a 32 bit Service Pack 2
  • Windows Server 2008 per sistemi basati su Itanium
  • Windows Server 2008 per sistemi basati su Itanium Service Pack 2
  • Windows Server 2008 per sistemi basati su x64
  • Windows Server 2008 per sistemi basati su x64 Service Pack 2
  • Windows Vista
  • Windows Vista Service Pack 1
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition Service Pack 1
  • Windows Vista x64 Edition Service Pack 2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 e R2
  • Windows 10
  • Windows Server 2016

Come influisce sui sistemi?

Il malware crittografa i file contenenti estensioni di Office, file multimediali, database di e-mail ed e-mail, codice sorgente dello sviluppatore e file di progetto, file di immagine e grafica e molto altro ancora.

Fonte: Kaspersky

Insieme al malware viene installato anche uno strumento di decrittazione che aiuta a eseguire il riscatto di $ 300 richiesto in Bitcoin, nonché a decrittografare i file dopo aver effettuato il pagamento.

Fonte: Kaspersky

Lo strumento di decrittografia esegue due timer per il conto alla rovescia: un timer di 3 giorni, dopodiché viene indicato che il riscatto aumenterà e un timer di 7 giorni che indica il tempo rimanente prima che i file vengano persi per sempre.

Poiché lo strumento software ha la capacità di tradurre il testo in più lingue, è chiaro che l’attacco è mirato a livello globale.

Fonte: Kaspersky

Per garantire che l’utente trovi lo strumento di decrittografia, il malware modifica anche lo sfondo del PC interessato.

Fonte: Kaspersky

Come stare al sicuro?

  • Assicurati che il database del tuo software antivirus sia aggiornato e proteggi il tuo sistema in tempo reale ed esegui una scansione.
  • Se viene rilevato il malware: Trojan.Win64.EquationDrug.gen, assicurati che sia messo in quarantena e rimosso e riavvia il sistema.
  • Se non lo hai già fatto, si consiglia di installare la patch ufficiale Microsoft – MS17-010 – che mitiga la vulnerabilità SMB che viene sfruttata nell’attacco.
  • Puoi anche disabilitare SMB sul tuo computer usando questa guida di Microsoft.
  • Le organizzazioni possono isolare le porte di comunicazione 137 e 138 UDP e le porte 139 e 445 TCP.

I sistemi con sede negli Stati Uniti sono stati assicurati accidentalmente

Un ricercatore di sicurezza britannico di 22 anni ha accidentalmente impedito al malware di diffondersi alle reti statunitensi quando ha acquistato il dominio di commutazione della morte del malware che non era ancora stato registrato.

Non appena il sito è stato pubblicato, l’attacco è stato interrotto. Puoi leggere il suo rapporto completo qui su come ha scoperto il kill switch per malware e alla fine lo ha disattivato.

Leggi anche: questo difetto di sicurezza critico di Android rimane non corretto da Google.

“Esiste già un’altra variante del ransomware che non dispone di un kill switch, il che lo rende difficile da contenere. Ha già iniziato a infettare i paesi europei “, ha affermato Sharda Tickoo, Direttore tecnico di Trend Micro Spagna.

Non è ancora chiaro chi sia il responsabile dell’attacco e le speculazioni hanno indicato Shadow Brokers – che sono anche responsabili del rilascio del malware online – o più organizzazioni di hacking.

Guarda il video GT Hindi per Wannacry / Wannacrypt Ransomware di seguito.

Ultimo aggiornamento 16th Novembre 2022