lunedì 5 febbraio 2018

WannaMine: il malware come WannaCry, ma senza ransomware


9 mesi fa si è verificato uno dei più gravi attacchi ransomware della storia, quello di WannaCry del quale abbiamo abbondantemente scritto. Qualche giorno fa i ricercatori hanno individuato un malware che si diffonde esattamente come WannaCry e rischia quindi di compromettere le macchine di una grandissima quantità di utenti. Il mezzo usato sono le vulnerabilità di EternalBlue, l'exploit trafugato all'NSA (l'Agenzia di sicurezza nazionale statunitense) dal gruppo Shadow Broker. 

Che questo rischio fosse dietro l'angolo, lo avevamo scritto giusto qualche giorno fa: era del tutto verosimile infatti aspettarsi un nuovo connubio tra miner di cripto valuta (uno strumento di guadagno sempre più apprezzato dai cyber-criminali) e uno degli strumenti di diffusione malware più efficace nella storia del cyber-crimine degli ultimi dieci anni. Anche il numero potenziale di vittime è altissimo, perché, nonostante per le vulnerabilità del protocollo SMB attaccate da EternalBlue siano state rilasciate da molto tempo le patch, pochi sono gli utenti che hanno eseguito l'aggiornamento. 

WannaMine

WannaMine è un worm, con un alto potenziale di infezione, che installa sui computer bersaglio un miner, software finalizzato a sfruttare la potenza di calcolo dei veri PC per "minare" (generare, estrarre) criptovaluta e versarla sul conto degli attaccanti.

Di per sè quindi WannaMine provoca molti meno danni di WannaCry: surriscaldamento del PC, sovrautilizzo della batteria e maggiore consumo di energia elettrica, deterioramento progressivo della CPU.  L'allarme è inferiore quindi a quello provocato da WannaCry, ma il problema alla base invece resta allarmante.

EternalBlue: qualche novità
Da qualche mese ormai tutti i ricercatori di sicurezza davano per scomparso il rischio EternalBlue: come detto anche in precedenza le patch sono state rilasciate e l'exploit dovrebbe in sunto essere ormai un'arma spuntata. Ma non è così, purtroppo. 

In circolazione infatti non c'è più lo stesso EternalBlue "di un tempo", ma una versione riveduta e corretta: le patch non sono state aggirate, ma ora EternalBlue è in grado di colpire anche computer che eseguono Windows 2000 e Windows XP. Con WannaCry i computer con questi due sistemi operativi non correvano grandi rischi, dato che andavano in crash prima del completamento della criptazione dei file. Ad oggi invece rischiano grosso e la probabilità che sistemi operativi così antiquati siano aggiornati (anche se le patch esistono) sono davvero basse.  Il numero delle potenziali vittime finisce così per lievitare ulteriormente: non solo più coloro che eseguono sistemi operativi più recenti, ma non patchati, ma anche coloro che che eseguono sistemi operativi osboleti. 

La soluzione?
AGGIORNATE i vostri sistemi operativi!! Il bollettino di sicurezza relativo, pubblicato da Microsoft  nel Marzo 2017 e aggiornato nel Novembre 2017, è disponibile qui.

Nessun commento:

Posta un commento