Campagna massiva Ransomware / Wannacry

wannacry

Nella giornata di ieri 12 Maggio 2017, a livello mondiale è stata identificata una campagna massiva di Ransomware/Wannacry.

Il malware risulta essere stato distribuito principalmente in Europa e in Asia.

Dai primi dati rilevati i paesi colpiti risultavano essere 74, anche se in seguito alcuni vendor Antivirus hanno identificato la minaccia in almeno 99 paesi.

 

Wannacry fa parte della macro-famiglia di malware Ransomware e cioè minacce informatiche con lo scopo di criptare i dati degli utenti/organizzazioni vittima e richiedere, in seguito, un riscatto in BTC (bitcoin), per avere nuovamente i dati in chiaro.

 

Il malware è in grado di criptare le seguenti tipologie di file:

  • Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
  • Less common and nation-specific office formats (.sxw, .odt, .hwp).
  • Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • Emails and email databases (.eml, .msg, .ost, .pst, .edb).
  • Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm).
  • Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
  • Virtual machine files (.vmx, .vmdk, .vdi).

 

Wannacry è stato sviluppato per infettare gli utenti che utilizzano le seguenti lingue:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

 

Al momento non si è ancora certi di quale sia il vettore di attacco utilizzato dagli attaccanti per distribuire il malware, anche se si ipotizza possa avvenire tramite e-mail.

L’entità della minaccia risulta critica in quanto il malware sfrutta una vulnerabilità del protocollo SMB v1 per propagarsi nella rete interna, tramite exploit reso pubblico da “ShadowBroker” nell’occasione del leak dei toolkit NSA: il nome dell’exploit è “EternalBlue

La vulnerabilità risulta essere stata “patchata” nel mese di Marzo 2017 da Microsoft sui sistemi Microsoft Windows grazie al bollettino di sicurezza MS17-010.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

E’ possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:

  • (Consigliato)

Installare le patch rilasciate nel bollettino di sicurezza Microsoft di Marzo MS17-010https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

  • (Alternativa)

Disabilitare il protocollo SMB v1: la versione 1 del protocollo SMB risulta vecchia e non più utilizzata, se non in ambienti in cui è necessario un alta “retro-compatibilità” con S.O. Microsoft non più supportati (Windows 2000, Windows XP).

 

I principali Vendor Antivirus, tra i quali:

  • Symantec
  • Kaspersky
  • McAfee
  • Sophos
  • Trend Micro

dalla giornata di ieri sono in grado di rilevareidentifcare e bloccare la minaccia, il suggerimento è quindi quello di verificare sui server e sui Client che le signature antivirus siano aggiornate.

L’Antivirus di nuova generazione SentinelOne, grazie al suo motore di analisi dinamica delle minacce, protegge già gli Endpoint senza necessità di aggiornare le signature.

https://sentinelone.com/blogs/wanacrypt0r-wreaks-havoc-worldwide/

 

Di seguito gli IoC identificativi del Ransomware / Wannacry:

IOC Type

Value

Domain

57g7spgrzlojinas.onion

Domain

76jdd2ir2embyv47.onion

Domain

cwwnhwhlz52maqm7.onion

Domain

gx7ekbenv2riucmf.onion

Domain

sqjolphimrr7jqw6.onion

Domain

xxlvbrloxvriy2c5.onion

Domain

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

FileHash-MD5

05a00c320754934782ec5dec1d5c0476

FileHash-MD5

26b205ffe4adaadbb442442cae653bdd

FileHash-MD5

29365f675b69ffa0ec17ad00649ce026

FileHash-MD5

46d140a0eb13582852b5f778bb20cf0e

FileHash-MD5

4fef5e34143e646dbf9907c4374276f5

FileHash-MD5

509c41ec97bb81b0567b059aa2f50fe8

FileHash-MD5

5ad5075d8d66cd7c05899d8044fdab65

FileHash-MD5

5bef35496fcbdbe841c82f4d1ab8b7c2

FileHash-MD5

775a0631fb8229b2aa3d7621427085ad

FileHash-MD5

7bf2b57f2a205768755c07f238fb32cc

FileHash-MD5

7f7ccaa16fb15eb1c7399d422f8363e8

FileHash-MD5

835fff032c51075c0c27946f6ebd64a3

FileHash-MD5

83e5a812a371e0790066c6fb038f0d26

FileHash-MD5

8495400f199ac77853c53b5a3f278f3e

FileHash-MD5

84c82835a5d21bbcf75a61706d8ab549

FileHash-MD5

86721e64ffbd69aa6944b9672bcabb6d

FileHash-MD5

8dd63adb68ef053e044a5a2f46e0d2cd

FileHash-MD5

b0ad5902366f860f85b892867e5b1e87

FileHash-MD5

d6114ba5f10ad67a4131ab72531f02da

FileHash-MD5

db349b97c37d22f5ea1d1841e3c89eb4

FileHash-MD5

e372d07207b4da75b3434584cd9f3450

FileHash-MD5

f107a717f76f4f910ae9cb4dc5290594

FileHash-MD5

f529f4556a5126bba499c26d67892240

FileHash-MD5

f9992dfb56a9c6c20eb727e6a26b0172

FileHash-MD5

f9cee5e75b7f1298aece9145ea80a1d2

FileHash-SHA1

45356a9dd616ed7161a3b9192e2f318d0ab5ad10

FileHash-SHA1

51e4307093f8ca8854359c0ac882ddca427a813c

FileHash-SHA1

87420a2791d18dad3f18be436045280a4cc16fc4

FileHash-SHA1

bd44d0ab543bf814d93b719c24e90d8dd7111234

FileHash-SHA1

e889544aff85ffaf8b0d0da705105dee7c97fe26

FileHash-SHA256

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

FileHash-SHA256

149601e15002f78866ab73033eb8577f11bd489a4cea87b10c52a70fdf78d9ff

FileHash-SHA256

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

FileHash-SHA256

2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd

FileHash-SHA256

2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d

FileHash-SHA256

4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982

FileHash-SHA256

4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79

FileHash-SHA256

593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af

FileHash-SHA256

6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7

FileHash-SHA256

7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545

FileHash-SHA256

a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b

FileHash-SHA256

b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7

FileHash-SHA256

b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c

FileHash-SHA256

b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

FileHash-SHA256

c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9

FileHash-SHA256

c73633e55a1d66af88a3dc2d46e7d47e0a47ce0bab0930a70b97b003adafc9af

FileHash-SHA256

ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

FileHash-SHA256

f5cbff5c100866dd744dcbb68ee65e711f86c257dfcc41790a8f63759220881e

FileHash-SHA256

f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

 

In qualità di Network & Security Company, Sorint.SEC eroga servizi di sicurezza informatica volti a garantire una protezione avanzata delle più diverse e complesse infrastrutture.

Nello specifico, eroga servizi di Managed Next Generation EndPoint Protection con lo scopo di aumentare la protezione delle organizzazioni contro le minacce avanzate indirizzate agli EndPoint presenti all’interno dell’infrastruttura.

Maggiori informazioni circa i servizi di protezione e sicurezza gestita, offerti da Sorint.SEC, sono disponibili ai seguenti link:

https://sec.sorint.it/it/managedendpointprotection

https://sec.sorint.it/it/soc