Introduzione
WannaCry è un worm di tipo ransomware che nel 2017 ha infettato più di 200.000 dispositivi windows di tutto il mondo sfruttando una vulnerabilità . Sfrutta una vulnerabilità di SMB (protocollo che usa windows per file e stampanti) tramite un exploit di eternalblue.
Fasi dell'attacco
Attacco iniziale (Dropper o Phishing)
Il punto d'ingresso può essere una mail di phishing con allegato infetto o un file scaricato da un sito compromesso.
Quando l’utente apre il file, si esegue il dropper, cioè la prima parte del malware.Download e esecuzione del ransomware
Il dropper scarica e attiva WannaCry, che si installa nel sistema.
Viene avviato il processo che cerca altri computer vulnerabili nella rete.Exploit EternalBlue (MS17-010)
WannaCry sfrutta la vulnerabilità EternalBlue (protocollo SMBv1 di Windows) per entrare nei sistemi non aggiornati.
Non serve alcun intervento umano: si diffonde automaticamente.Propagazione automatica nella rete locale
Il malware scansiona la LAN e infetta altri dispositivi vulnerabili, replicandosi come un worm.
L’attacco si estende in pochi minuti a intere reti aziendali.Cifratura dei file
Una volta stabilita la connessione, WannaCry critta i file con AES e li rinomina.
I file diventano illeggibili e viene lasciata una nota di riscatto sul desktop.Richiesta di riscatto
Viene mostrato un messaggio che chiede un pagamento in Bitcoin (es. 300$) per ricevere la chiave di decrittazione.
C’è anche un conto alla rovescia che aumenta la cifra dopo un certo tempo.
Come difendersi:
Mai cliccare su allegati sospetti
Aggiornare sempre il sistema operativo
Usare un antivirus aggiornato
Fare backup frequenti
Top comments (0)