Massiccio attacco ransomware spazza l’Europa: basato su tecnologie NSA

Nel Regno Unito ma anche in varie nazioni europee è in corso un attacco ransomware su larga scala, con cybercriminali che stanno chiedendo a ospedali, università, compagnie telefoniche e altre aziende il pagamento in Bitcoin di un riscatto

ransomware

Nel Regno Unito ma anche in varie nazioni europee è in corso un attacco ransomware su larga scala, con cybercriminali che stanno chiedendo a ospedali, università, compagnie telefoniche e altre aziende il pagamento in Bitcoin di un riscatto. Tra le varie istituzioni colpite, c’è anche il Il Servizio Sanitario Nazionale britannico (con conseguente impossibilità di usare molti computer negli ospedali e in alcuni studi medici) ma anche  la compagnia di telecomunicazioni spagnola Telefonica.

Interessante notare che, stando a quanto affermano vari esperti di sicurezza, per l’attacco è sfruttata una tecnica presente in uno strumento d’intrusione dell’NSA, denominato EternalBlue/DoublePulsar, diffuso al pubblico da un gruppo che si fa chiamare Shadow Brokers, balzato agli onori della cronaca a gennaio di quets’anno per aver violato alcuni server della NSA e rubato il codice del “malware federale”.

Il ransomware in questione si chiama Wanna Cry ma è anche noto come WCry. Il meccanismo è quello consueto di questa tipologia di malware: sui PC con Window, ai nomi dei documenti è aggiunta la stringa iniziale “WANACRY”, i file infettati vengono cifrati (l’estensione cambia in .WNCRY) e per decifrarli serve una password nota solo ai cybercrimali.

Per ottenere questa password bisogna pagare un riscatto. Microsoft ha rilasciato a marzo di quest’anno una patch ma evidentemente i sistemi colpiti non sono aggiornati. Il malware è in grado di infeattare i PC con Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, e Windows Server 2016, tutti i sistemi non aggiornati da marzo scorso.

WanaCry