WannaCrypt (noto anche come WannaCry) ha iniziato a propagarsi il 12 maggio 2017 alle 07:44 UTC installando ransomware su computer affetti da CVE-2017-0145, una vulnerabilità presente nella versione 1 dell'implementazione Microsoft Server Message Block (SMBv1). Nelle prime 48 ore della campagna, WannaCrypt ha colpito quasi 100.000 macchine, la maggior parte (85%) erano sistemi consumer a Taiwan, Russia e Stati Uniti. Questa minaccia ha colpito principalmente i computer che eseguono versioni precedenti di Windows come Windows 7 e Windows Server 2008.

Le macchine infette da WannaCrypt possono diventare inutili. Microsoft consiglia di ripristinare queste macchine dai backup anziché acquistare le chiavi di crittografia dagli aggressori.

Per rimanere protetti, i clienti devono applicare gli aggiornamenti di sicurezza descritti nel Bollettino Microsoft sulla sicurezza MS17-010. I clienti di Windows XP, Windows Server 2003 e Windows 8 possono applicare un aggiornamento fuori banda descritto in KB4012598. L'abilitazione di Windows Defender Antivirus con la protezione fornita dal cloud e gli aggiornamenti automatici dovrebbe prevenire l'infezione.

N.B.: Le informazioni sullo stato e le raccomandazioni sulla mitigazione fornite con questa voce riguardano le vulnerabilità rilevate solo in Windows.

WannaCrypt era già attivo prima della campagna di maggio 2017. Nei primi attacchi, il gruppo di attività ZINC ha ottenuto l'accesso alle macchine delle vittime attraverso metodi sconosciuti, ha installato una backdoor e ha utilizzato la backdoor per eliminare WannaCrypt. Tuttavia, alle 07:44 UTC del 12 maggio 2017, una nuova versione di WannaCrypt ha iniziato a propagarsi attraverso le reti locali e Internet sfruttando una vulnerabilità (CVE-2017-0145) nella versione 1 dell'implementazione Server Message Block di Microsoft (SMBv1).

Dopo un exploit riuscito, il componente worm WannaCrypt installa una copia di se stesso sull'host remoto nel percorso C:\WINDOWS\mssecsvc.exe. Mentre questa nuova istanza continua a trovare e sfruttare le vittime, installa una copia del componente ransomware WannaCrypt, nel percorso C:\WINDOWS\tasksche.exe. Per mantenere la persistenza, il componente worm imposta le chiavi di registro di esecuzione automatica per i componenti worm e ransomware e registra entrambi come servizi.

Il componente ransomware di WannaCrypt cerca unità disco con lettere, come condivisioni di rete e dispositivi di archiviazione rimovibili, e utilizza un'utilità Windows nativa nota come ICACLS per ottenere l'accesso a tutti i file su tutte le unità scoperte. Quindi cerca tutti i file i cui nomi contengono un elenco di estensioni codificate (come .ppt, .docx e .jpg) e li crittografa. Successivamente, il malware elimina le copie shadow del volume e i backup utilizzando gli strumenti nativi di Windows Vssadmin, WMIC, BCDEdit e WBAdmin utilizzando il seguente comando:

Cmd /c vssadmin elimina shadows /all /quiet
& wmic shadowcopy delete & bcdedit /set
{default} bootstatuspolicy ignoreallfailures
& bcdedit /set {default} recoveryenabled no
& wbadmin delete catalog -quiet

Il ransomware WannaCrypt rilascia anche una serie di file di "supporto", tra cui copie della richiesta di riscatto in più lingue, un'immagine bitmap che sostituisce lo sfondo del desktop per fornire istruzioni all'utente e l'applicazione di routing Tor per consentire la comunicazione anonima tra vittima e aggressore. Infine, mostra una nota di riscatto.

A questo punto, è abbastanza difficile per gli utenti recuperare i propri file senza pagare il riscatto.

Durante le fasi iniziali dell'infezione, alcune varianti di WannaCrypt hanno tentato di connettersi a siti Web remoti:

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• iffferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
• iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Questi domini non erano di comando e controllo ma fungevano da kill switch." Se WannaCrypt colpisce un dominio che è stato registrato, interrompe automaticamente ulteriori infezioni. Questo comportamento è stato scoperto quando un ricercatore di sicurezza ha registrato i domini per tracciare la diffusione del malware ; successivo anche i domini sono stati perforati.

La diffusione dell'epidemia è stata ulteriormente contenuta quando Microsoft ha rilasciato patch fuori banda per CVE-2017-0145 per Windows XP e Windows Server 2003, consentendo agli utenti di questi sistemi operativi obsoleti di proteggersi da WannaCrypt. Tuttavia, le versioni successive di WannaCrypt non dispongono della funzionalità "kill switch" e molti utenti non riescono ancora ad applicare le patch per CVE-2017-0145, con il risultato che ogni mese vengono segnalati migliaia di incontri con WannaCrypt.

Impatto
La campagna WannaCrypt non si rivolgeva a specifici dati demografici dei clienti, ma piuttosto a computer casuali nello spazio degli indirizzi IPv4. Qualsiasi computer di destinazione che utilizzava la versione 1 dell'implementazione SMBv1 (Microsoft Server Message Block) ed era esposto a Internet poteva essere stato infettato. Questo gruppo demografico era costituito principalmente da utenti di versioni precedenti di Windows, in particolare Windows 7 (82%) e Windows Server 2008 (18%).

I computer infettati da WannaCrypt sono diventati trampolini di lancio per successivi attacchi contro indirizzi IP esterni e computer vulnerabili all'interno della stessa organizzazione. Quando WannaCrypt ha crittografato i file, i computer infetti sono stati resi inutilizzabili, sebbene abbastanza operativi da consentire alle vittime di apprendere e pagare il riscatto. L'impatto esatto di WannaCrypt variava da un'organizzazione all'altra, ma in casi estremi ha provocato un grave degrado dei processi critici. Ad esempio, le organizzazioni mediche non potrebbero perseguire nuovi pazienti; altre società non sono state in grado di elaborare gli ordini.

Distribuzione degli incontri WannaCrypt

Mitigazioni
Applicare queste mitigazioni per ridurre l'impatto di questa minaccia. Controllare la scheda consultiva per lo stato di implementazione delle mitigazioni monitorate.

• Usa l'isolamento basato su hardware, fornito da Windows Defender System Guard, e sfrutta le funzionalità di protezione in Windows 10. Queste funzionalità forniscono una mitigazione strategica delle tecniche di exploit EternalBlue.
• Per affrontare le vulnerabilità sfruttate da EternalBlue, installare gli aggiornamenti di sicurezza forniti con Microsoft Security Bulletin MS17-010, rilasciato il 14 marzo 2017. Microsoft Security Bulletin MS17-010 è disponibile per le versioni non supportate di Windows (inclusi Windows XP, Windows Server 2003, e Windows 8) in una patch fuori banda, KB4012598, rilasciata il 13 maggio 2017.
• Usa Windows Defender Firewall, i dispositivi di prevenzione delle intrusioni e il firewall di rete per impedire la comunicazione SMB quando possibile.

 Più di un anno dopo che il ransomware WannaCrypt (noto anche come "WannaCry") è scoppiato e ha colpito migliaia di computer con l'aiuto dell'exploit EternalBlue, stiamo ancora assistendo a tutti i tipi di attività di attacco che sfruttano questo exploit. Oltre agli effettivi incontri con WannaCrypt, molti sensori segnalano attacchi mirati progettati per distribuire backdoor, nonché attacchi alle merci, la maggior parte dei quali ora fornisce minatori di monete.

Diverse macchine che eseguono Windows Server 2016 stanno segnalando attività probabilmente collegate a un attacco noto per iniziare sfruttando CVE-2017-10271, una vulnerabilità che colpisce Oracle Weblogic Server. L'attacco utilizza quindi gli script di PowerShell per scaricare il coin miner, prima di distribuire i componenti lateralmente utilizzando EternalBlue. Abbiamo trovato indicatori evidenti utilizzando EternalBlue che potrebbero far parte di questo attacco. Stiamo inoltre rilevando più connessioni dalle stesse macchine interessate a indirizzi IP in Cina, Russia e indirizzi IP Microsoft sulle porte SMB 445 e 139.

In breve:

• Gli aggressori continuano a utilizzare l'exploit EternalBlue che colpisce diverse vulnerabilità SMBv1 (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147 e CVE-2017-0148).
• Gli attacchi alle materie prime che utilizzano l'exploit EternalBlue stanno abbattendo i minatori di monete.
• Altri attacchi sembrano essere mirati e progettati per implementare backdoor.
• Alcuni attacchi arrivano sfruttando CVE-2017-10271, una vulnerabilità che colpisce Oracle Weblogic Server. EternalBlue viene quindi utilizzato per spostarsi lateralmente.

NOTA: lo stato di mitigazione e le informazioni di consulenza fornite con questa voce coprono le vulnerabilità rilevate solo in Windows.

Mitigazioni

• Usa l'isolamento basato su hardware e le funzionalità di protezione dagli exploit in Windows 10. Queste funzionalità forniscono una mitigazione strategica delle tecniche di exploit EternalBlue.
• Per affrontare le vulnerabilità sfruttate da EternalBlue, installare gli aggiornamenti di sicurezza forniti con Microsoft Security Bulletin MS17-010, rilasciato il 14 marzo 2017. Microsoft Security Bulletin MS17-010 è disponibile per le versioni non supportate di Windows (inclusi Windows XP, Windows Server 2003, e Windows 8) nella patch fuori banda KB4012598, distribuita il 13 maggio 2017.
• Usa Microsoft Defender Firewall, i dispositivi di prevenzione delle intrusioni e il firewall di rete per impedire la comunicazione SMB quando possibile.