Cyber Security: come si propagano i Ransomware. Le varie fasi

Le tecniche di propagazione dei ransomware Wannacry e NotPetya

CYBER SECURITY: i ransomware  come funzionano

Le tecniche di propagazione dei ransomware possono essere inquadrate in due specifiche azioni che devono essere compiute dagli attaccanti al fine di riuscire a realizzare un attacco ransomware.

Nella prima fase il codice malevole deve essere inoculato nel dispositivo da colpire, mentre nella seconda fase il codice malevole deve iniziare a compiere le operazione di codifica dei dati. Infine per completare il lavoro deve essere presentata la richiesta di riscatto alla vittima dell’attacco.

In questo articolo analizziamo le tecniche di propagazione utilizzate dai ransomware Wannacry e NotPetya nelle due fasi.

In entrambi i casi bisogna però considerare che queste due fasi sono diventate una sola, si sono in qualche modo fuse, ma questa è stata di una virulenza straordinaria sia in velocità di propagazione che in ampiezza sul territorio, contagiando dispositivi sparsi dalle nazioni ai continenti nel giro di poche ore, questo deve far pensare poiché la sicurezza informatica non può più essere trascurata da nessuno. Il virus essendo unica la fase di infezione e propagazione si auto-replicava fino a quanto non è stato individuato il kill-switch (l’interruttore che li ha spenti).

Nel caso di WannaCry l’interruttore o kill-switch era rappresentato dal seguente dominio web: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, il codice del ransomware verificava l’esistenza di tale dominio, nel caso affermativo bloccava la sua diffusione, mentre nel caso di NotPetya la verifica veniva (o meglio viene, nel caso di ulteriori infezioni) eseguita sul file system, andando a verificare la presenza del file perfc.dat nella directory C:\Windows nel qual caso il malware non si attiva, ossia la codifica dei dati non viene eseguita.

I due predetti fenomeni si sono succeduti nel giro di pochi mesi, ma hanno utilizzato la stessa vulnerabilità per la loro propagazione, tale vulnerabilità presente nei server samba dei sistemi Windows, era conosciuta dà qualche mese e la Microsoft aveva rilasciato le patch di correzione, ma come si è visto molte aziende/società/enti non si erano predisposte ad aggiornare i sistemi, in effetti si calcola che il secondo fenomeno ossia NotPetya abbia causato molti più danni di quanti ne abbia causato WannaCry.

Come riportato nella nota di sicurezza CVE-2017-7494 rilasciata da Samba Project, questa vulnerabilità permette di caricare un file in remoto su una shared (‘cartella condivisa’) e poterlo eseguire, in questo caso la sicurezza è importante poiché chiunque utilizzi questi dispositivi deve aggiornare il sistema immediatamente, correggendo la pecca che può essere letale.

Il voler considerare le due fasi come unica, è data dal fatto che, nel caso di WannaCry l’infezione sembra sia partita dall’apertura di una mail infetta, mentre nel secondo con NotPetya, la prima infezione sembra sia stata perpetrata inserendo il payload in un aggiornamento di un applicazione utilizzata da alcune strutture governative dell’Ucraina, dopo questi singoli eventi iniziali la diffusione è avvenuta in automatico, attraversando le connessioni di rete presenti tra i vari dispositivi.

Vulnerabilità

I sistemi informatici, i software, perfino i protocolli di comunicazione, a volte possono presentare delle vulnerabilità, ossia dei punti deboli che possono essere attaccati, lesi o danneggiati o ancora possono presentare errori non rilevati durante le fasi di analisi o di test dei software stessi, delle reti, delle infrastrutture informatiche in genere, pertanto durante la loro vita queste vulnerabilità possono essere trovate e sfruttate con scopi a volte illeciti, quindi tale termine lo possiamo associare alla violazione di una policy di sicurezza. 

Molte grandi compagnie, da questo punto di vista hanno creato programmi definiti ‘bug bounty’ che invogliamo gli sviluppatori di software, gli hacker, i tester, ad individuare eventuali vulnerabilità nei sistemi, in modo da irrobustire i software, i dispositivi, le infrastrutture dietro compensi monetari.

Le vulnerabilità vengono classificate e catalogate affinché si abbia la massima diffusione nella comunità, esiste un istituzione denominata MITRE sponsorizzata dal governo degli Stati Uniti che ha dato una definizione precisa ed ha creato una distinzione in due macro categorie: le Vulnerabilità e le Esposizioni.

Per 'Vulnerabilità' si intende un punto debole che può essere presente nella logica computazionale (ad esempio nel codice di un software) o all'interno di componenti hardware, o all'interno di un firmware, che se sfruttate posso impattare negativamente sulla sicurezza, sulla riservatezza o sull'integrità stessa del sistema informatico preso di mira. 

Un elenco delle vulnerabilità è riportato all'interno del 'Common Vulnerabilities and Exposures' (CVE) che altro non è che un sito web 'https://www.cve.mitre.org/' in cui sono classificate e messe a disposizione di tutti, questo strumento garantisce una condivisione di informazioni, un punto di incontro per discutere sulle problematiche rilevate e quindi una linea base per valutare gli strumenti idonei alla correzione, ma soprattutto consente lo scambio di informazioni a livello di cyber security.

Per 'Esposizione' si intende un problema legato alle configurazioni o ad un errore nel codice che permette l'accesso a informazioni o funzionalità di un sistema e che possono essere sfruttate dagli hacker o peggio dai cracker. 

In particolare una esposizione descrive uno stato in un sistema di calcolo che non è una vulnerabilità, ma:

  • permette ad un attaccante di condurre un’attività di raccolta di informazioni;
  • permette ad un attaccante di nascondere un'attività;
  • permette l’uso di applicazioni che possono essere attaccate con successo con metodi di forza bruta.

Una lista delle Esposizioni è mantenuta e può essere consultata nel 'Common Configuration Enumeration' (CCE) presso il sito web 'https://nvd.nist.gov/config/cce/index

La classificazione delle esposizioni è analoga a quella delle vulnerabilità.

EternalBlue

EternalBlue è un exploit ossia uno strumento di diffusione di virus, ransomware, worm, script, etc, che sfrutta una specifica vulnerabilità di un sistema informatico al fine di ottenere da parte dell'attaccante i privilegi amministrativi e quindi la possibilità di eseguire codice malevolo.

EternalBlue come vulnerabilità è classificata con il codice CVE-2017-01444 , essa permette ad attaccanti remoti di eseguire codice arbitrario all'interno della maggior parte dei sistemi Windows.

La vulnerabilità è presente all'interno del Server Message Block (SMB) che è un protocollo usato per la condivisione di file, stampanti, porte di comunicazioni tra diversi nodi di una rete, proprio questa vulnerabilità è stata sfruttata per diffondere i malware WannaCry e NotPetya.

Tale vulnerabilità risolta da parte della Microsoft  con il rilascio della patch (4013389) il 14 marzo del 2017 non è stata installata da parte di tutti i possessori dei sistemi infetti, questo ha provocato nei mesi successivi enormi danni, molte compagnie per svariati motivi non hanno installato la patch ed il risultato si è visto nei mesi successivi, bisogna dire che la Microsoft ha rilasciato tale patch anche per i sistemi operativi di cui aveva esplicitamente comunicato che non sarebbero più stati aggiornati, in particolare Windows XP e Windows Server 2003.

...continua la lettura nel pdf


Il Magazine

Sfoglia l'ultimo numero della rivista Ingenio

Newsletter Ingeio

Seguici su