Written by Un anno fa (precisamente venerdì 12 maggio 2017) si verificava il massiccio attacco informatico WannaCry degli “Shadow Brokers”, un gruppo Hacker che nell’agosto dello stesso anno aveva messo a disposizione online alcuni tool (vere e proprie armi per cyber-attacchi) della National Security Agency, l’agenzia di sicurezza nazionale statunitense. Oltre 150 paesi sono stati colpiti (con più 230000 infezioni in totale), in cui si sono verificati dei fermi di molti sistemi informativi di particolare rilevanza, con effetti che andavano dal semplice computer spento all’intervento chirurgico rinviato. Da quel momento in poi si è avuto un incremento incredibile di persone informate su cosa fosse una criptovaluta: il riscatto per la decrittazione dei dati era richiesto in bitcoin. Tantissimi hanno imparato in quell’occasione cos’è un “Ransomware”. Molte aziende hanno ceduto al ricatto, pagando il riscatto. Ancora oggi in tanti ricordano il nome di qiel ransomware: WannaCry. Un particolare quasi divertente però di cui non si è parlato poi molto (e che ha reso quel venerdì nero della cybersecurity ancora più curioso), è che gli Shadow Brokers promettevano agli utenti così poveri da non pter pagare di restituire gratuitamente i dati dopo sei mesi. Una devianza di Robin Hood, o almeno un modo per voler chiarire che la volontà principale era quella di attaccare istituzioni di una certa rilevanza ed aziende che potevano tutto sommato “permettersi” 300 dollari di riscatto.
Da un punto di vista strettamente tecnico il malware WannaCry (di fatto un dropper Trojan) sfruttava una vulnerabilità del protocollo Server Message Block di Windows (in particolare la versione 1.0 – SMBv1) il cui impiego era per la condivisione dei file in rete. Quindi MacOS e Linux non ne erano interessati. Il malware era costituito da due componenti: un exploit (EternalBlue, che pare sia stato creato dalla National Security Agency) ed un ransomware vero e proprio. La prima componente sfruttava la falla di SMBv1, mentre la seconda si occupava della cifratura dei file (con RSA a 2048 bit, praticamente inattaccabile).
Un’altra curiosità interessante è che non si poteva parlare di una vulnerabilità Zero-day, poiché era stata segnalata dalla stessa Microsoft nel Security Bulletin del marzo 2017, con tanto di indicazioni sulla relativa patch rilasciata.
Brian Krebs ha osservato che da un’analisi degli indirizzi bitcoin codificati dal malware, gli autori di una delle peggiori epidemie di ransomware siano riusciti a guadagnare da questa storia solo 26000 dollari. Alcuni si presero la briga di creare una pagina Twitter che monitorava i tre indirizzi dei wallet bitcoin, da cui risultava che a due mesi dall’attacco la cifra arrivava a 69000 dollari, ma in ogni caso il gioco valeva la candela? In realtà lo stesso Brian Krebs osserva che i responsabili dell’attacco abbiano mantenuto altri indirizzi bitcoin per ricevere i pagamenti associati a questo attacco, ma non esistono al momento prove al riguardo.
Ora, qualche commento…Secondo alcune fonti della stampa britannica il 90% degli ospedali in quel momento aveva sistemi che ancora utilizzavano Windows XP e Windows Server 2003. Molti di essi poi erano interconnessi a dispositivi medico-diagnostici anche più datati. Sicuramente una macchina per l’ecografia (compicata quanto vuoi, ma assimilabile ad un desktop con dei sensori e su quel desktop ci gira Windows) fornita da un vendor che non si cura del ruolo del sistema operativo e soprattutto che è necessario che esegua costantemente gli upgrades rimarrà sempre una macchina vulnerabile. Sarebbe il caso di sensibilizzare i vendor.
Un’altra osservazione pertinente che è stata fatta da qualcuno è: se l’NSA e/o la CIA la smettessero di produrre questi malware, magari cose così non accadrebbero così di frequente o non con questa rilevanza.
In conclusione, ultima osservazione divertente: anche WannaCry aveva la sua bella vulnerabilità da sfruttare per decriptare i file che infettava. Infatti il malware utilizzava la Microsoft Cryptografic Application Programming Interface per la generazione delle chiavi crittografiche, che risultava avere alcuni bug che strumenti come Wannakiwi erano in grado di sfruttare. Questo software ha permesso a moltissimi utenti di riavere indietro i propri file senza pagare un…bitcoin. Il tutto a patto di non riavviare il PC se infettato da WannaCry ed installare subito Wannakiwi. In ogni caso il fatto che gli strumenti che sfruttano delle vulnerabilità abbiano sempre anche loro le proprie vulnerabilità è sollevante. La nemesi dell’hacker…