WannaCry – Esame di condotta del cyber attacco – Cosa dicono gli esperti

Andrea Draghetti, IT Security Consultant

WannaCry è un virus del riscatto, ovvero un ransomware in grado di cifrare i dati dei propri archivi digitali e solo a seguito di una cospicua somma viene fornita la chiave per decifrarli. WannaCry ha però modernizzato la diffusione di tale minaccia sfruttando un exploit per i sistemi Microsoft Windows in possesso dell’Agenzia nazionale per la sicurezza Usa, la NSA.

Questo exploit diffuso a Marzo 2017 dal misterioso gruppo hacker denominato Shadow Brokers ha permesso a WannaCry di propagarsi localmente nelle grandi infrastrutture aziendali e via internet in totale autonomia, senza richiedere la ben che minima interazione della vittima, differentemente dalle tradizionali campagne di Phishing a cui eravamo abituati che invitavano la vittima ad aprire un allegato o accedere ad un indirizzo web. La diffusione del ransomware è iniziata da Giovedì 11 Maggio, ma solo il giorno successivo si è capito quanto velocemente si stava propagando in tutto il mondo, colpendo anche infrastrutture critiche come Ospedali o Uffici pubblici. Con l’intervento di MalwareBlogTech è stato possibile rallentare la diffusione del malware, grazie all’analisi del codice da lui condotta e alla scoperta di una funzione di Kill Switch che prevedeva l’arresto dell’infezione se esisteva un determinato dominio; purtroppo però il malware è stato variato più volte escludendo la funzione di Kill Switch. La vulnerabilità sfruttata dal Ransomware era già stata corretta lo scorso Marzo da Microsoft ma purtroppo un importante numero di utenti ignora gli aggiornamenti di sistema o sfrutta sistemi operativi non più supportati e obsoleti come Windows XP, permettendo così al Ransomware di agire indisturbato.


Gerardo CostabilePresidente IISFA Italian Chapter

Come ormai tecnicamente noto, secondo le ricostruzioni, il ransomware WannaCry – diffuso in rete il 12 maggio scorso – utilizza la vulnerabilità chiamata EternalBlue/DoublePulsar (CVE-2017- 0145) precedentemente sfruttata dalla National Security Agency (NSA) americana.

Il 14 marzo 2017, Microsoft, con un “Security Bulletin MS17-010” classificato come “Critical”, aveva pubblicato un Security Update specifico, per patchare tale vulnerabiità legata al protocollo SMB v1 sui sistemi Windows. Il 12 maggio Microsoft, con un extra-effort, oltre che invitare nuovamente gli utenti al sopra indicato aggiornamento (che se non effettuato rendeva ovviamente il sistema vulnerabile al malware) ha deciso di rilasciare un ulteriore aggiornamento anche per i software in end of life, come ad esempio XP, ovvero quei sistemi notoriamente non più supportati con gli aggiornamenti di sicurezza.

Corre l’obbligo ricordare che Wannacry sfrutta tale vulnerabilità come vettore di attacco per diffondersi dai computer inizialmente compromessi a quelli raggiungibili in rete attraverso questo protocollo vulnerabile.

Ed è questa una particolarità, rispetto ai “normali” ransomware: la modalità di propagazione del malware ha alcune “similitudini” con i worm, ovvero si diffonde senza un comportamento “attivo” dell’utente.

In generale, invece, i ransomware sono trasmessi attraverso un file inviato per e-mail; una volta aperto, questo permette al malware di entrare nei pc bloccandone l’accesso ai dati; lo sblocco è possibile solo mediante il pagamento di un “riscatto”. Al momento, nel caso di specie non è ancora stata dimostrata la modalità iniziale di invio del malware (se via email o con altre modalità sfruttando la medesima vulnerabilità, come ipotizzato da alcuni addetti ai lavori).E’ invece noto il codice ‘dropper’, utilizzato dal ransomware nella fase dell’infezione del client.

La cifratura utilizzata dal ransomware WannaCry è una combinazione di RSA and AES-128- CBC. In particolare; la cifratura RSA è realizzata attraverso le CryptoAPI di Windows e una implementazione ad hoc per la cifratura AES. Il valore del riscatto richiesto è da $300 a $600 in Bitcoin.

Molto si è scritto e si è detto sui ransomware e sulla geopolitica dell’attacco. E’ opinione di chi scrive che dall’analisi del software malevolo – che come spesso accade evidenzia un “riuso” di “pezzi” di malware di altri attacchi, come anche in Italia si evidenziò con il noto caso “Occhionero/Eyepiramyd” – le “influenze” del codice sembrerebbero provenire da gruppi criminali “economic driven”, quindi legati a metodologie di attacco non dimostrative, politicamente orientate o di cyberwar. Non perché questo non avvenga quotidianamente, ma solo perché in tali casi l’approccio, la metodologia e la tecnica sono generalmente diversi e più “APT oriented” (oltre che più silenziosi e subdoli).

Un’altra considerazione importante è che questa tipologia di malware non è certamente una novità. Solo negli ultimi 3 mesi – durante le continuative attività di cyber threat intelligence – abbiamo registrato numerosi altri ransomware, come ad esempio Locky, Cerber, TorrentLocker, Paycrypt ed altri. Con più di una variante o nuovo IoC al giorno e con riscatti spesso di migliaia di euro. Appare evidente che anche qui assisteremo sempre di più – quindi – a diversi approcci criminali, come accade per le frodi bancarie e su carte di credito. Ci saranno organizzazioni che approcceranno la frode per piccole somme e con un maggiore ”cono” potenziale di vittime, rispetto ad altri che faranno (o meglio già fanno!) attacchi più targettizzati (per frodi di numero inferiore ma di magnitudo maggiore).


Paolo Dal Checco, Consulente Informatico Forense

Del ransomware WannaCry si è già detto di tutto: si è parlato delle possibili origini Nord Coreane, delle vulnerabilità sul protocollo SMB di Windows di cui l’NSA era a conoscenza, di come Microsoft abbia pubblicato subito aggiornamenti trascurati da chi ora è diventato potenziale vittima, della backdoor installata sulle macchine infette e tante altre notizie. Un aspetto però sta destando curiosità fra gli addetti ai lavori: la modalità con la quale viene richiesto il pagamento del riscatto e le cifre irrisorie che sta raggiungendo il wallet dei criminali.

Il ransomware, infatti, chiede il pagamento su tre indirizzi Bitcoin noti sui quali sono stati raccolti, a oggi, circa 80.000 dollari da un totale di meno di 300 vittime paganti. Per un’infezione di livello mondiale, con più di 150 paesi colpiti e oltre 300.000 computer vulnerabili raggiunti e censiti grazie ai “kill switch” cablati nel codice, 300 vittime paganti è una cifra irrisoria così come gli 80.000 dollari incassati. Tenuto conto, tra l’altro, che la richiesta di riscatto è anomala dato che non permette a chi paga di avere la certezza che il delinquente possa distinguere il suo versamento, riversando tutti i riscatti su tre soli indirizzi in comune fra le vittime. Si dice che i criminali chiedano delucidazioni alla vittima dopo il pagamento, tramite il software WanaDecryptor, ma non ci sono conferme anzi, in tanti sostengono che i delinquenti non sblocchino i dati a fronte del pagamento perché non riescono a gestire manualmente tutte le vittime. L’orario indicato dai criminali direttamente nel software di blocco (“il miglior momento per controllare è dalle 9 alle 11 di mattina”) sembra confermare questa tesi, che potrebbe essere il motivo per il quale i pagamenti sono così pochi rispetto alle infezioni, insieme al fatto che, per come si diffonde, il ransomware sembra colpire meno utenze domestiche e più aziendali.


Stefano Zanero, Information Security Consultant and Researcher, Politecnico di Milano

Molto si è detto e si è scritto su WannaCry, e molte delle cose ipotizzate nelle ore calde della crisi si sono rivelate, ovviamente, approssimate. Altre verranno scoperte man mano nei prossimi giorni e nelle prossime settimane. Alcuni dati di fatto consentono di dire che il codice del ransomware è stato costruito utilizzando ampiamente codice esistente e già diffuso (a partire dall’exploit ETERNALBLUE). Inoltre, pare che il meccanismo di monetizzazione del malware non sia stato efficace (non ci è dato sapere se per scelta, oppure per errore di valutazione e design da parte degli autori). Inoltre, sia il meccanismo utilizzato per verificare la presenza di una sandbox (che è poi stato utilizzato come kill switch), che il metodo per la generazione delle chiavi (che ha consentito di sviluppare uno strumento di decifratura) sembrano particolarmente dilettanteschi.

Purtroppo, almeno tre ipotesi completamente distinte tra loro combaciano con questi dati di fatto. La prima ipotesi è che si sia trattato, effettivamente, di un malware raffazzonato, composto da un gruppo di autori poco esperti, che hanno però “giocato col fuoco” di una vulnerabilità estremamente facile da utilizzare in modo affidabile grazie al codice rilasciato da Shadow Brokers. Se da un lato quest’ipotesi è tranquillizzante, dall’altro ci deve far riflettere il caos generato in mezzo mondo da aggressori così poco esperti.

La seconda ipotesi è che questo malware sia un “test”, o addirittura un campione rilasciato per sbaglio mentre era ancora in costruzione. Test per cosa, o come sarebbe stato il prodotto finito, è lasciato alla nostra fantasia.

Una terza ipotesi, volendo dar peso alla presenza di codice sviluppato da un gruppo di hacking nordcoreano, sarebbe che un attore (la Corea del Nord stessa, o qualcuno interessato ad usarla come capro espiatorio) abbia voluto generare del caos a nostre spese (riuscendoci, tra l’altro, egregiamente).

A prescindere da quale dei tre scenari si voglia considerare, l’unica conclusione stabile è che questo worm è stato sicuramente meno diffuso dei suoi antenati del 2003/2004 (Slammer, Blaster, Sasser, Code Red…), ma più notato dalle vittime a causa del payload distruttivo. E che in assenza del “kill switch” i danni sarebbero stati sicuramente più seri.


Avvocato Valerio Vertua, Vice Presidente Cloud Security Alliance Italy

L’attacco WannaCry ha evidenziato una serie di problematiche che gli esperti di sicurezza informatica conoscono molto bene da anni. Prima di tutto l’esistenza, per altro ineliminabile, di software che sfruttano le vulnerabilità dei sistemi operativi per prendere il controllo di pc, server o in generale di device (mobili o nell’ambito dell’IoT) o per creare software ransomware: tutti software che sono di fatto delle vere armi digitali. Quando viene sfruttata una vulnerabilità questa può essere scoperta (o comprata) sia da enti governativi, sia da organizzazioni criminali, sia da hacktivisti ecc. Non a caso gli esperti di sicurezza informatica si battono da anni denunciando, ad esempio, la pericolosità intrinseca di collocare delle backdoor nei software di cifratura: la backdoor prima o dopo viene trovata anche da chi non dovrebbe, con la possibilità poi di sfruttarla per vari scopi (leciti o non leciti). C’è poi un altro aspetto degno di nota. La sicurezza informatica non è un qualcosa di statico, un punto di arrivo ma è un vero e proprio processo. Non a caso il GDPR ha eliminato la distinzione tra misure minime di sicurezza e misure idonee, a favore delle misure tecniche e organizzative adeguate di sicurezza (che devono tenere conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”); un vero e proprio processo in continua evoluzione che richiede un costante aggiornamento. Questo comporta, però, dei costi economici ben precisi. L’attacco in questione ha evidenziato, in concreto seppure indirettamente, proprio questo aspetto. I tecnici dicono che l’attacco non sarebbe stato così diffuso e devastante se i sistemi operativi fossero stati costantemente aggiornati con le varie patch (misura per altro prevista da sempre nella regolamentazione europea sul trattamento dei dati) e/o se fossero stati adottati sistemi operativi più recenti: ma tutto ciò, come detto, comporta un dispendio economico e di tempo che spesso le aziende non vogliono o non sono in grado di sostenere. Ecco perché abbiamo ancora un’enorme diffusione di pc basati su Windows Xp o di sistemi della casa di Richmond non regolarmente aggiornati (ma questo vale anche per gli altri SO), tenendo conto, a onor del vero, che gli aggiornamenti sono, spesso, quotidiani. Si è visto che le aziende o enti pubblici a rischio sono i più disparati, comprese le aziende ospedaliere, particolarmente sensibili per la tipologia dei dati trattati. La vera sfida del management aziendale è così quella di comprendere che l’adozione sistematica delle indicazioni degli esperti di sicurezza e quindi delle misure di sicurezza è un costo che viene ripagato dalla continuità operativa aziendale, dalla spendibilità in termini di immagine e di valore aggiunto per le aziende virtuose nonché da una reale compliance, nel caso dell’Europa, al GDPR anche al fine di evitare i rischi connessi alla sensibile entità delle sanzioni comminabili.


Mattia Epifani, Consulente Informatico Forense

La storia di Wannacry ci insegna 4 cose, anche se, probabilmente, eravamo già a conoscenza di tutte; ci insegna principalmente che è importante imparare dalla storia.

1) Le vulnerabilità note e ignote sono tante. Una volta che qualcosa è pubblico (come in questo caso) Microsoft produce una patch in tempo rapido (tipicamente), ma quante altre ce ne sono che noi non conosciamo? Quante sono già attualmente utilizzate da attaccanti (che siano criminali o governi o intelligence o ragazzini in caccia di gloria)

2) C’è un enorme carenza a livello mondiale di “piani di sicurezza”.

– Mancanza di piano di aggiornamento/patching dei sistemi

– Presenza di sistemi ancora obsoleti e non più supportati (il 7% a livello mondiale ha ancora XP!)

– Mancanza di training degli utenti

– Dispositivi anche sensibili esposti su Internet (questo nel campo Health è molto sensibile)

Unendo questo alla mancanza di piani di backup sensati (per intenderci: non il disco o il NAS con la share di rete montata sul PC che quando si infetta, allora infetta anche il backup) e di disaster recovery (per realtà più grandi che devono tornare operative rapidamente) si ottiene il risultato finale.

3) Quello che ha contraddistinto Wannacry è la sua capacità di “autodiffusione”. Ma questa non è una novità, anche se si vuole far passare come tale. E’ solo che ora la “cyber security” piace come argomento a tutti. Ma i “Worm” esistono da quando i computer sono collegati in rete….. Ero piccolo, ma Morris ha fatto storia e si studiava in università già 20 anni fa (http://morrisworm.larrymcelhiney.com/morris_appeal.txt).

4) Non so chi sia dietro a Wannacry. Sicuramente ci sono e ci saranno sforzi comuni a livello europeo e mondiale per cercare di capire l’origine, e se questa è di natura criminale o di intelligence. Ma ricordiamoci sempre che fare un attacco è alla portata di tutti. Lo insegnava già Morris nel 1988 (vedi sopra) e lo hanno confermato più recentemente, ma comunque 15 anni fa, Blaster e Sasser. Ti basti pensare che Sasser (https://en.wikipedia.org/wiki/Sasser_(computer_worm)) è stato scritto da un ragazzino (https://en.wikipedia.org/wiki/Sven_Jaschan) e ci sono state anche voci (non confermate) che affermavano che fosse stato fatto per favorire l’attività del negozio di informatica dei genitori.

Oggi la situazione è un pò diversa, ma quello che bisogna diffondere è una cultura. E non sarà per nulla facile. Bisogna cominciare con le nuove generazioni e, pian piano, come in ogni cosa, l’uomo creerà consapevolezza.


Edoardo Limone, Responsabile sistemi informativi Fondazione Formit

Wannacry ha dimostrato la fragilità dei sistemi operativi, una fragilità nota, forse voluta ma sicuramente inaccettabile, soprattutto quando esistono tecnologie ben più economiche con architetture più solide e moderne. Infine vi è un problema dirigenziale: perché ogni aspetto tecnico non può essere risolto se il livello superiore non autorizza spese e strategie. In questo caso il problema spesso è di cultura, con la convinzione che non vi siano minacce o che i propri sistemi siano inattaccabili. Ed è con la volontà di non investire e di non ammodernare che poi, inevitabilmente, ci si trova coinvolti nelle crisi come quella di pochi giorni fa. È necessario comprendere che l’informatica richiede formazione e procedure scritte, con responsabilità ben definite e non è possibile continuare a pensare alle tecnologie solo come infrastrutture auto-consistenti invincibili e ad appannaggio di pochi.


Francesco Paolo Micozzi, Avvocato esperto di Diritto dell’Informatica e Nuove Tecnologie

Nel caso WannaCry troviamo un particolare che, dal punto di vista giuridico, può indurci ad alcune considerazioni: lasciando da parte le questioni relative alla qualificazione giuridica della condotta dell’attaccante vorrei soffermarmi sull’esame della condotta dell’attaccato. Sotto questo punto di vista, infatti, occorre premettere che il ransomware WannaCry ha manifestato la sua spiccata capacità “virale” anche grazie allo sfruttamento di una vulnerabilità informatica di SMB1 (Server Message Block) mediante l’exploit “EternalBlue” che faceva parte dei tool “segreti” della NSA (National Security Agency) almeno fino al 14 aprile 2017. In quella data, infatti, il gruppo di hacker denominato “The Shadow Brokers” (TSB) ha reso disponibile online un leak di circa 300 Mb comprensivo, appunto, dell’exploit “EternalBlue” per SMBv1. La cosa più interessante è che la vulnerabilità sfruttata da EternalBlue su SMB1 era già stata corretta da Microsoft, con la patch MS17-010, circa un mese prima del rilascio dell’exploit da parte di TSB e circa due mesi prima della diffusione di WannaCry. Ciò significa, sostanzialmente, che se le vittime di WannaCry avessero applicato le patch di sicurezza rilasciate da Microsoft sui loro sistemi informatici affetti da tale vulnerabilità, non avrebbero patito le conseguenze dannose provocate da WannaCry.

Considerando che i file cifrati dal ransomware sono, nella maggior parte dei casi, da considerarsi “perduti” (salvo che non sia altrimenti disponibile la chiave https://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html)  – infatti, posto che non è possibile fare affidamento nella “correttezza” di chi ci sta estorcendo del denaro, dobbiamo mettere in conto anche che l’“antidoto” (ossia la chiave per decifrare i dati) non ci verrà mai consegnato – dobbiamo esaminare in quali responsabilità possa incorrere il titolare del trattamento dei dati personali vittima di WannaCry.

Attualmente – in base al D.Lgs. 196/03 (il nostro codice della privacy) – le misure di sicurezza che devono essere impiegate sono, sostanzialmente, di due tipi: da un lato abbiamo le “misure minime” di sicurezza e, dall’altro, le misure “idonee”. La mancata adozione delle prime – definite ed elencate dall’Allegato B – espone a responsabilità penale (punita con l’arresto sino a due anni) mentre la mancata adozione delle misure “idonee” – che non rappresentano un “numero chiuso” – espone a richieste di risarcimento del danno in sede civile. Tra le misure minime elencate dall’allegato “B” si prevede sia un obbligo di “protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici”, che quello di “adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi”. In sostanza: obbligo di proteggere i sistemi informatici dal malware, di eseguire gli aggiornamenti e di fare le copie di backup. Tuttavia, secondo il dettato dell’allegato B), le misure anti-malware devono essere aggiornate almeno “semestralmente”; i software devono essere aggiornati almeno “annualmente” (salvo che si trattino dati sensibili e, allora, l’aggiornamento deve essere quantomeno “semestrale”); e il backup dei dati deve avere una cadenza minima “settimanale”.

Data l’ampia estensione temporale degli obblighi di aggiornamento è ben probabile che, nel caso di specie, non si incorra in responsabilità di tipo penale – salvo per quei dati personali che non si sia riusciti a recuperare in quanto non coperti dal backup settimanale o perché il backup sia stato fatto in modo improprio (ad esempio salvando i dati in un hard disk esterno costantemente connesso al sistema informatico) – tuttavia sarà molto difficile dimostrare, dietro un’eventuale richiesta di danni, che i dati siano stati “custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi” e, di conseguenza, scongiurare una responsabilità in sede civile. E ciò perché sarebbe stato sufficiente un semplice upgrade dei sistemi affetti dalla vulnerabilità a cadenze più ravvicinate rispetto ai canonici “sei mesi”. Dobbiamo certamente abituarci ad una migliore policy della sicurezza informatica posto che, dal 25 maggio del 2018, le previsioni del Regolamento europeo sul trattamento dei dati personali (2016/679/EU) saranno più “stringenti” nel richiedere l’adozione delle “adeguate” misure di sicurezza.

Condividi sui Social Network:

Articoli simili