I ransomware sono dei software malevoli decisamente indesiderabili. Nelle ultime settimane, è balzato agli oneri della cronaca quella che è stata classificata come la più grave minaccia degli ultimi tempi, ovvero sia il temibile WannaCry.
Come visto, si tratta di un malware davvero aggressivo e senza discriminanti che, insieme ad un’innumerevole serie di varianti minori, è riuscito a far collassare istituti governativi, ospedalieri e Personal Computer, in un attacco di proporzioni internazionali che ha visto coinvolta anche l’Italia.
Come classico paradigma operativo di questa nuova categoria di software malevoli, il ransomware prende in ostaggio i nostri file richiedendo il pagamento in valuta digitale (Bitcoin) per il loro sblocco. Una situazione da cui difficilmente l’utente medio può sfuggire. Ad ogni modo, un ricercatore francese chiamato Adrien Guinet pare aver trovato una soluzione che non implichi il pagamento del riscatto.
La sua idea si basa sostanzialmente sulla manipolazione delle chiavi crittografiche usate per bloccare l’accesso ai file sul computer nel corso dell’attacco. Per il momento, comunque, pare che ciò funzioni soltanto su sistemi Windows equipaggiati con una distribuzione di sistema Windows XP e che non siano stati riavviati a seguito dell’infezione.
Una condizione essenziale che, se non soddisfatta, impedisce di recuperare direttamente le chiavi di decrittazione dalla memoria interna. Ad ogni modo, il ricercatore afferma di essersi attivato a favore della creazione di un sistema che garantisca maggior compatibilità con le altre piattaforme operative. Allo stato attuale, GitHub ospita il software necessario per svolgere l’operazione. Si chiama WanaDecrypt e, accanto a questo, si pone anche un altro tool essenziale chiamato Wanakiwi.
La soluzione proposta da Guinet potrebbe rivelarsi di importanza vitale per il contrasto di futuri attacchi di tipo ransomware basati su phishing o in caso di download di software malevolo da sito esterno. Come spiegato da Pierluigi Paganini, consulente del G7 italiano:
“Lo schema di cifratura implementato dal ransomware WannaCry utilizza un meccanismo di crittografia asimmetrica basato su una coppia di chiavi pubblica/privata per la cifratura e decifratura dei file. Per la creazione della coppia di chiavi l’algoritmo implementato dal malware utilizza una coppia di numeri primi, noti i quali è quindi possibile risalire alla chiave per decifrare i file. Una volta creata la chiave per decifrare i file, WannaCry procedeva alla sua cancellazione del sistema infetto, tuttavia il codice malevolo non cancella i numeri primi usati nel processo di generazione. Adrien Guinet ha sviluppato un tool in grado di recuperare i numeri primi dalla memoria del sistema infetto e, applicando l’algoritmo di generazione della coppia di chiavi, risalire alla chiave per decifrare i file”
In aggiunta allo scopo principale di questo nuovo sistema anti-ransomware, il software potrebbe consentire anche di ottenere un quadro completo sugli autori e gli obiettivi principali dell’attacco. Nonostante le ipotesi conseguano all’attribuzione di colpa ai danni di russi, nordcoreani e degli esponenti di Lazarus, non è ancora possibile stilare un rapporto completo su coloro che hanno garantito il loro coinvolgimento nell’attacco.
Ospedali, treni, banche e aziende automobilistiche sono stati coinvolti nell’attacco nella notte tra il 12 ed il 13 Maggio 2017, costringendosi a versare tra i $300 ed i $600 per lo sblocco dei propri sistemi, garantendo così un introito netto di $100.000 dollari ai malfattori. Il 13 Maggio 2017 un giovane inglese ha individuato la causa dell’infezione, bloccando la diffusione del virus tramite un’operazione di reverse engineering che ha anticipato l’intervento delle multinazionali della cyber-security.
Un attacco che, in un quadro molto più ampio, sarebbe potuto sfociare in un vero e proprio “disastro informatico di proporzioni bibliche”. Potrebbe essersi trattato, di fatto, di una semplice ostentazione di superiorità voluta dagli hacker a dimostrazione delle loro capacità, in luogo del fatto che tramite un semplice intervento di kill switch è stato possibile sminuire le potenzialità dell’attacco.
Subito dopo la scoperta della vulnerabilità, comunque, è stata rinvenuta anche una variante del ransomware WannCry senza interruttore e, poco dopo, si sono scoperti anche una serie di exploit derivati dalla stessa tecnologia, rubati dagli Shadowbrokers (Nsa Eternal Blue e Double Pulsar).
Riusciremo a sgominare l’insorgere di un fenomeno che ci coinvolge da vicino e che, in vista di una capillare diffusione dei sistemi IoT basati su trasmissioni digitali 5G, promette di mandare in subbuglio l’interno ecosistema? Lo scopriremo solo col tempo. Intanto, rilascia qui tutte le tue personali considerazioni al riguardo.
