Un massiccio attacco di ransomware denominato WanaCrypt0r 2.0 (aka WCry) è stato sferrato nella giornata tra il 12 13 maggio, con oltre 57.000 infezioni rilevate finora. Secondo i nostri dati, il ransomware è principalmente rivolto a Russia, Ucraina e Taiwan, ma il ransomware ha infettato con successo importanti istituzioni, come gli ospedali in tutta l’Inghilterra e la società di telefonia spagnola, Telefonica.
Di seguito è riportata una mappa che mostra i paesi che sono maggiormente indicati da WanaCrpytor 2.0:
La prima versione di WanaCrypt0r fu rilevata nel mese di febbraio e ora il ransomware è disponibile in 28 lingue diverse, dal bulgaro al vietnamita. Oggi alle 8 del mattino, abbiamo notato un aumento dell’attività di questo ceppo, che rapidamente si è espanso in una diffusione massiccia, a partire dalle ore 10.00.
Il ransomware modifica i nomi delle estensioni dei file interessati in “.WNCRY”, in modo che un file infetto abbia un aspetto simile a: original_name_of_file.jpg.WNCRY. I file crittografati sono anche contrassegnati dalla stringa “WANACRY!” All’inizio del file.
Questo ransomware rilascia le seguenti note di riscatto in un file di testo:
Inoltre, il riscatto richiesto è di 300 dollari di bitcoins. Nel messaggio di riscatto, ci sono le istruzioni su come pagare il riscatto, una spiegazione di ciò che è accaduto e un timer del conto alla rovescia:
Questo attacco dimostra ancora una volta che i ransomware sono un’arma potente che può essere utilizzata contro utenti normali e imprese. Questo tipo di attacco diventa particolarmente brutto quando infetta istituzioni come gli ospedali, dove può mettere in pericolo la vita delle persone.
Vettore di infezione: WanaCrypt0r 2.0
WanaCrypt0r 2.0 è probabilmente stato diffuso su migliaia di computer usando un exploit del gruppo Equation, un gruppo che è fortemente sospettato di essere legato all’NSA. Un altro gruppo di hacker denominato ShadowBrokers ha sottratto gli strumenti di hacking del gruppo Equation rilasciandoli pubblicamente. Come confermato dal ricercatore, Kafeine, l’ exploit, noto come ETERNALBLUE o MS17-010, è stato probabilmente utilizzato dai cybercriminali dietro WanaCrypt0r ed è una vulnerabilità di Windows SMB (Server Message Block, un protocollo di condivisione di file di rete).
Si consigliano vivamente tutti gli utenti di Windows di aggiornare completamente il proprio sistema con le ultime patch disponibili. Continueremo a monitorare questo episodio e aggiorneremo su questoblog ulteriori aggiornamenti.
