DEV Community

Cover image for Cybersecurity worm WannaCry
mrX
mrX

Posted on

Cybersecurity worm WannaCry

Introduzione
WannaCry è un worm di tipo ransomware che nel 2017 ha infettato più di 200.000 dispositivi windows di tutto il mondo sfruttando una vulnerabilità . Sfrutta una vulnerabilità di SMB (protocollo che usa windows per file e stampanti) tramite un exploit di eternalblue.

Fasi dell'attacco

  1. Attacco iniziale (Dropper o Phishing)
    Il punto d'ingresso può essere una mail di phishing con allegato infetto o un file scaricato da un sito compromesso.
    Quando l’utente apre il file, si esegue il dropper, cioè la prima parte del malware.

  2. Download e esecuzione del ransomware
    Il dropper scarica e attiva WannaCry, che si installa nel sistema.
    Viene avviato il processo che cerca altri computer vulnerabili nella rete.

  3. Exploit EternalBlue (MS17-010)
    WannaCry sfrutta la vulnerabilità EternalBlue (protocollo SMBv1 di Windows) per entrare nei sistemi non aggiornati.
    Non serve alcun intervento umano: si diffonde automaticamente.

  4. Propagazione automatica nella rete locale
    Il malware scansiona la LAN e infetta altri dispositivi vulnerabili, replicandosi come un worm.
    L’attacco si estende in pochi minuti a intere reti aziendali.

  5. Cifratura dei file
    Una volta stabilita la connessione, WannaCry critta i file con AES e li rinomina.
    I file diventano illeggibili e viene lasciata una nota di riscatto sul desktop.

  6. Richiesta di riscatto
    Viene mostrato un messaggio che chiede un pagamento in Bitcoin (es. 300$) per ricevere la chiave di decrittazione.
    C’è anche un conto alla rovescia che aumenta la cifra dopo un certo tempo.

Come difendersi:
Mai cliccare su allegati sospetti
Aggiornare sempre il sistema operativo
Usare un antivirus aggiornato
Fare backup frequenti

Top comments (0)