Roma, 22 mag. (askanews) – Il recente attacco ransomware WannaCry che ha messo in ginocchio sistemi in centinaia di stati “poteva essere affrontato diversamente”. È quanto dice a Cyber Affairs Pierluigi Paganini, esperto di cyber security e intelligence, security advisor di istituzioni internazionali e membro del gruppo di lavoro italiano cyber al G7
“Come noto”, commenta Paganini, “WannaCry sfrutta l’exploit dell’Nsa EternalBlue, reso pubblico negli scorsi mesi dal gruppo Shadow Brokers, mentre la falla sfruttata dal codice malevolo è stata risolta da Microsoft con un aggiornamento rilasciato in marzo”.
Ciò, sottolinea l’esperto, “significa che vittime dell’attacco per vari motivi non hanno aggiornato i loro sistemi esponendoli alla minaccia. Investigando la minaccia e la sua modalità di propagazione sono tuttavia emerse informazioni a mio giudizio inquietanti, ovvero che più attori malevoli hanno sfruttato – nelle settimane precedenti l’attacco WannaCry – la vulnerabilità nota alla comunità di sicurezza mondiale per diffondere i loro codici malevoli. È il caso per esempio della botnet Adylkuzz, che risulta essere attiva almeno dal 24 Aprile e che sfrutta la vulnerabilità nel protocollo SMB, la medesima utilizzata da EternalBlue”.
Ma, rileva ancora Paganini, “non finisce qui. Gli esperti dell’azienda di sicurezza di Cyphort hanno scoperto che un loro server utilizzato come honeypot era stato attaccato da un malware della famiglia dei RAT – Remote Access Trojan – distribuito da un server cinese con indirizzo 182.18.23.38. Singolare il fatto che sia Adylkuzz sia quest’ultimo RAT una volta infettato un sistema provvedono a chiudere la porta 445 utilizzata dall’exploit per sfruttare la falla nel protocollo SMB, questo per evitare che il sistema compromesso sia infettato da altri codici malevoli basati su EternalBlue”.
Questa circostanza, rimarca l’esperto, “conferma che entrambi gli attori malevoli dietro le i due malware erano a conoscenza della possibilità di sfruttare la falla. Il fatto che diversi gruppi fossero a conoscenza di EternalBlue è confermato anche da un rapporto pubblicato dall’azienda Secdo. Secdo sostiene di aver identificato un ransomware che sfruttava l’exploit EternalBlue settimane prima di WannaCry. Proseguendo nelle ricerche, ci si imbatte in un altro ransomware che usa l’exploit Nsa e che è stato scoperto la scorsa settimana dall’azienda Heimdal. Il codice malevolo noto come UIWIX ransomware presenta la caratteristica di essere fileless ovvero di essere eseguito direttamente nella memoria del sistema attaccato non lasciando traccia sui dischi. Infine, in aprile, Secdo ha scoperto un nuovo malware che sfrutta EternalBlue e che è associato ad un attore malevolo cinese che lo ha usato per distribuire una backdoor”.
Detto ciò, prosegue Paganini, “arriviamo alla conclusione che almeno tre differenti gruppi di attaccanti erano a conoscenza dell’exploit, tuttavia i sistemi di difesa di aziende ed organizzazioni in tutto il mondo erano impreparate, ivi comprese infrastrutture critiche come gli ospedali. Si può ritenere che siano falliti i processi di threat intelligence: nota la vulnerabilità si sarebbe dovuto monitorare questa tipologia di attacco segnalando tempestivamente ogni abuso dell’exploit in Rete. Fallimentari sono stati anche i processi di information sharing. Molte aziende confermano di aver osservato la minaccia attraverso i loro honeypot, ma le strutture di sorveglianza degli stati evidentemente non ne erano a conoscenza. Abbiamo dato agli attaccanti – conclude l’esperto – un prezioso vantaggio e le conseguenze potrebbero essere drammatiche in un futuro attacco qualora gli attori malevoli dovessero utilizzare un attacco zero-day”.
(Fonte: Cyber Affairs)