Don’t WannaCry over spilt milk

Chi e come ha fermato la prima ondata di WannaCry?

Dopo la prima ondata di “attacchi” che portano la firma del ransomware WannaCry (e nomenclature alternative) c’è stato un fermento di analisi e di articoli, anche da parte della stampa italiana. Con delle forme che evidentemente permettono di aumentare vendite e click, ma che, allo stesso tempo, rimangono fuorvianti.

Ad esempio: “ventenne riesce a bloccare il virus mondiale a caso”. In sé non è inesatto, ma ovviamente non si parla di questo:

https://media.giphy.com/media/XreQmk7ETCak0/giphy.gif

@MalwareTech ha 22 anni, vero. Ha scoperto il modo per bloccare la prima versione di WannaCry a caso, vero. E fin lì la frase non è opinabile. Il fatto è che c’è stato un processo di reverse engineering del malware da parte di un professionista.

Alcuni articoli sostengono che all’interno del ransomware sia stato inserito un cosiddetto kill switch, una sorta di segnale d’emergenza che, se diretto ad un particolare sito web, avrebbe provocato il fermo alle operazioni del malware.

Questo sito web, una lunga serie di lettere e numeri a caso, è stato identificato da MalwareTech (all’interno di un’analisi del codice del ransomware, non durante una passeggiata, e quindi possiamo definirlo un meraviglioso caso di serendipity),il quale ha scoperto che questo sito non era registrato. Registrandolo, il ransomware ha finito di diffondersi. In realtà il sito web non era un kill switch vero e proprio, ma semplicemente un escamotage per evitare l’analisi del malware. In certi ambienti di analisi denominati sandbox, l’URL utilizzato da WannaCry risulterebbe registrato, e il malware si disattiverebbe proprio per evitare di essere analizzato. In questo modo, registrando il dominio, il malware ha creduto di essere in un sandbox, disattivandosi in automatico.

È tutto finito?

Ovviamente no. È stata questione di ore prima che non una, ma ben tre nuove versioni del ransomware uscissero da guscio. 
 In poco tempo una delle tre è stata fermata appoggiandosi anch’essa ad un sito esterno, non registrato. La seconda era in realtà un falso positivo creato dai ricercatori di VirusTotal. La terza versione non dispone di quello che i giornali chiamano ancora kill switch, o comunque un modo per creare un sinkhole* per fermare l’afflusso di dati, ma funziona solo parzialmente. Si sospetta però che si tratti unicamente di un errore dell’attaccante. Sul perché di questa noncuranza ci arriveremo piano piano, per gradi. La porzione non funzionante tocca solo la decompressione del ransomware, mentre la diffusione attraverso eternalblue e doublepulsar funziona ancora. Questo significa che l’unico modo per essere al sicuro è patchare i sistemi, dato che la patch funziona — di nuovo — ed è disponibile da tempo.

La parola a Microsoft

A proposito di patch, Microsoft ha rilasciato un comunicato, definendo “doloroso” vedere i propri sistemi attaccati. La suddetta patch era stata rilasciata da tempo.dato che, L’appello di Microsoft è quindi ampiamente condivisibile e tocca diversi aspetti importanti.

Innanzitutto, la responsabilità della sicurezza dei sistemi è condivisa tra chi produce i sistemi e gli utenti. È di compagnie come Microsoft, che si impegnano a rilasciare patch e a creare sistemi e software più sicuri. È allo stesso tempo degli utenti, che se non aggiornano i propri sistemi rendono inutile il lavoro delle compagnie. Ed è quello che è successo in questo caso. 
 Chi attacca, nel cyberspace, ha sempre un vantaggio. Un vantaggio che deriva dalla presenza e dallo sfruttamento delle vulnerabilità, sia note che non, e che può contare su una scarsa cultura di sicurezza da parte dell’utente medio.

Sul secondo punto, ovvero che il problema sta nel fatto che agenzie governative facciano stoccaggio di cyber weapons e che rubarle è come rubare missili Tomahawk, c’è da discutere. Il problema non sta tanto nello stoccaggio di armi, come appunto si fa con i missili, il problema è riuscire a rubarle. Quindi non solo i vendors e gli utenti devono aumentare la propria cultura di sicurezza, ma lo deve fare anche chi crea le armi informatiche. E il problema dell’insider threat rimane uno dei più gravi nel mondo della sicurezza informatica, ma non è questa la sede per tale approfondimento.

Ancora una volta è necessario ribadire che questo attacco informatico ha rischiato di mietere vittime ed è quindi tempo che ci si sensibilizzi sul problema della sicurezza informatica da prendere sul serio sia dall’utenza media sia dai policymakers. A questi ultimi il compito di sviluppare un quadro normativo adeguato e al passo con le minacce attuali, collaborando con le infrastrutture statali, ma che soprattutto instauri un sistema sanzionatorio per quelle infrastrutture critiche che non aggiornano i propri sistemi.

La dichiarazione di Shadow Brokers

Il gruppo Shadow Brokers ha rilasciato un comunicato (qua) dove nega la propria responsabilità e, anzi, sostiene che nessuno, né stati né privati, ha comprato le vulnerabilità che avevano messo all’asta nonostante ripetuti avvertimenti. Il gruppo aggiunge che l’Equation Group ha affiliati all’interno di Microsoft e altre compagnie che si occupano di sicurezza informatica (il che motiverebbe il fatto di avere patchato la vulnerabilità che permette a WannaCry di funzionare) e che alcuni ex-membri dell’Equation Group lavorino per Microsoft e Google. Dopo altre illazioni sulle relazioni tra Microsoft e l’Equation Group, Shadow Brokers annuncia che da giugno offrirà un servizio a pagamento dove rilascerà dei dati che potrebbero riguardare exploit e tools per web browser, router, e cellulari, nuovi exploiti per windows 10, dati da reti compromesse di provider di SWIFT e banche centrali, e soprattutto dati da reti compromesse di programmi nucleari di Russia, Cina, Iran o Corea del Nord.

E a proposito della Corea del Nord

L’ultimo aggiornamento sul caso WannaCry è che il codice del ransomware assomiglia tantissimo a quello di Contopee, un malware del 2015 (nello specifico un backdoor trojan) attribuito al Lazarus Group. Il Lazarus Group è un gruppo di hacker nordcoreani, autore dell’attacco a Sony del 2014 e dell’Operation Troy, un massiccio attacco durato tre anni fatto di spionaggio e di DDoS ai danni del governo della Corea del Sud. Questo significherebbe che WannaCry sarebbe in realtà un massiccio attacco sponsorizzato da uno Stato col fine di creare destabilizzazioni a livello politico. Se la pista politica fosse confermata ci ritroveremmo davanti ad un nuovo scenario all’interno degli studi di cybersecurity. Non ci si troverebbe di più di fronte a un attacco privato a fini criminali, ma di un attacco statale con fini politici. Questo spiegherebbe perché la cifra richiesta dal ransomware fosse irrisoria e anche la scarsa sofisticatezza dell’attacco. Ma soprattutto sono interessanti le modalità, perché vorrebbe dire che un attore statale ha rubato delle armi ad un altro attore statale per utilizzarle per i propri fini e, se fosse vero, avrebbe delle implicazioni severissime. Aumenterebbe ancora di più il livello di allerta per quanto riguarda lo stoccaggio delle armi informatiche da parte degli Stati e stravolgerebbe l’analisi di un evento già di per sé molto importante.

Il fatto che siano armi americane (dell’NSA), rubate potenzialmente da hacker russi (Shadow Brokers) e messe in mano ad hacker nordcoreani (Lazarus Group) sembra fantageopolitica, soprattutto in un momento storico delicato come quello che stiamo vivendo. Al netto di tutto ciò vi è il bisogno di un aumento dei livelli di sicurezza a tutto tondo, a partire da chi sviluppa queste armi informatiche fino all’utente finale che ha il dovere di aggiornare i propri sistemi.

*Un sinkhole è solitamente un server dedicato verso il quale viene reindirizzato il traffico dati “malevolo”, evitando così che raggiunga i server di comando e controllo di un malware o di una botnet.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.