martedì 16 maggio 2017

WannaCry case: resa innocua la prima versione. Già in circolazione una seconda e una intera nuova famiglia di imitatori



Sabato i ricercatori hanno individuato una seconda versione di WannaCry che ha un differente dominio come "kill switch"o dominio interruttore.  

Ricordiamo che WannaCry si compone di due parti:
1- il ransomware vero e proprio
2- un worm SMB che diffonde il ransomware a nuove vittime, prima nella rete locale poi in Internet.

La prima versione di WannaCry conteneva un dominio interruttore, il quale, una volta individuato, ha permesso ai ricercatori di bloccare la diffusione del ransomware. Infatti, se il ransomware riusciva a connettersi al dominio, la criptazione non avveniva. Se il tentativo di connessione falliva, il ransomware avviva la criptazione. 

Questo dominio, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, non era registrato: si presume che il suo ruolo fosse quello di avere a disposizione una possibilità di "arresto di emergenza" della diffusione del ransomware in caso di bisogno. Il ricercatore ha quindi registrato un secondo dominio e ha scoperto che al Ransomware bastava sapere che l'indirizzo era esistente e raggiungibile per arrestarsi. Ha, in sunto, prodotto un DNS sinkhole, ovvero un server DNS che fornisce informazioni false: così invece di connettersi al dominio originario, il ransomware accedeva al dominio sotto controllo del ricercatore. Questo, risultando raggiungibile, ha reso innocuo il ransomware. 

Il gruppo di cyber criminali dietro WannaCry ha impiegato circa due giorni a mettere in circolazione la seconda versione, recante ovviamente un nuovo dominio interruttore. 

Appena individuato il nuovo dominio -
locato presso ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com -
il ricercatore di sicurezza Matt Suiche ha compiuto la stessa operazione, sostituendo il nuovo dominio dei cyber-criminali con quello vecchio già usato per disarmare WannaCry. 

La home page del secondo dominio sinkhole
In sunto, se anche un computer venisse infettato dalla seconda versione di WannaCry, in ogni caso non subirebbe danni, perchè il processo di criptazione non potrà avviarsi, almeno finchè il "falso" server continuerà a sostituire il dominio originale. 

Il dominio di kill switch impedisce a WannaCry di criptare i file.
L'interruttore di WannaCry funziona perchè il ransomware tenta la connessione ad un dominio incorporato nel proprio codice, prima di avviare il processo di criptazione. Se il dominio non è registrato, la criptazione procede regolarmente, ma se è registrato, il meccanismo di criptazione si blocca.Secondo alcuni ricercatori questo meccanismo potrebbe essere una protezione anti-sandbox
Infatti alcuni ambienti virtuali come le macchine virtuali e i sandbox risponderanno come se domini non registrati siano registrati. In questo caso è probabile ritenere che il ransomware ritenga di essere eseguito in ambienti di prova e si rifiuti di proseguire. 

Sono già in diffusione delle imitazioni...Nel frattempo sono cominciati a fioccare ransomware che imitano l'interfaccia di WannaCry. Oltre a ciò, l'azienda danese di sicurezza IT Hemidal Security ha dichiarato di aver individuato una seconda famiglia di ransomware- chiamata UIWIX ransomware- che usa lo stesso exploit SMB per diffondersi.
Il Lockscreen di un falso WannaCry
La scoperta più allarmante invece è legata all'individuazione di una ulteriore versione di WannaCry, non rilasciata per ora (fortunatamente) "in the wild" e che sembrerebbe per ora essere una versione di prova. La particolarità? Non ha il dominio interruttore. Pare che questo ransomware però non provenga dagli stessi sviluppatori di WannaCry: pare trattarsi di un meccanismo di imitazione, quindi di perfezionamento, dela prima e second aversione del ransomeare. Saltando a piè pari la parte in cui il ransomware tenta la connessione e, in base al risultato si attiva o meno, questa versione non lascerà scampo a coloro che hanno la vulnerabilità bersaglio di SMB ancora non patchata. 

Microsoft è intervenuta sulla questione...
Come già dicevamo ieri, questo ransomware sfrutta una falla conosciuta e già risolta due mesi fa. Ecco qui alcune informazioni utili:
1- per tutti i più recenti sistemi operativi Windows, fare riferimento al bollettino MS17-010 
2- per i sistemi operativi Windows XP, Windows 8 e Windows Server 2003, Microsoft ha rilasciato un aggiornamento specifico

Nessun commento:

Posta un commento