Giovedì, 23 Settembre 2021
Cronaca

Attacco hacker, WannaCry come Criptolocker: oltre 80 casi all'anno nell'Aretino. Come difendersi

Ieri mattina, quando hanno acceso il pc dell'ufficio dopo il fine settimana di riposo, di aretini che hanno avuto brutte sorprese sembrano essercene stati pochissimi. Il temibile attacco hacker che ha colpito su scala mondiale, non sembra aver...

Ieri mattina, quando hanno acceso il pc dell'ufficio dopo il fine settimana di riposo, di aretini che hanno avuto brutte sorprese sembrano essercene stati pochissimi. Il temibile attacco hacker che ha colpito su scala mondiale, non sembra aver fatto grossi danni nell'Aretino. Anche perché lo stesso genere di virus, l'ormai famigerato Crypotoloker, da mesi imperversa nelle caselle di posta elettronica della provincia, in particolare in quelle delle aziende. Di segnalazioni alla polizia postale ne arrivano di continuo. Anche due a settimana, in media oltre 80 all'anno. E tante aziende stanno imparando (alcune purtroppo a proprie spese) a difendersi.

Stando a quando emerso dalle indagini condotte dalla Polizia Postale negli ultimi mesi, Cryptolocker agisce proprio come il "virus" che ha messo in crisi decine di Paesi in 72 ore. Nella posta elettronica arrivano mail con messaggi di tipo pubblicitario: una volta aperti si installa il "virus", un trojan, che va a carpire i dati contenuti nella memoria e li rende inaccessibili. O meglio: per recuperarli la sventurata vittima ha bisogno di un codice e i pirati informatici annunciano di comunicarlo solo in cambio di un riscatto. Di solito questo riscatto è espresso in bitcoin: si parla di 4 o 6 bitcoin, dai 1800 ai 2mila euro. Ma c'è chi si è trovato di fronte a richieste superiori e chi ha sborsato la bellezza di 3600 euro senza però ricevere il codice per "sbloccare" i propri dati.
I consigli della Polizia Postale a chi si trova in balia di Criptolocker e WannaCry sono stati raccolti in una pagina web, ecco il decalogo:


1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell'infezione).

2) Il malware si installa infatti nella macchina "vittima" sfruttando il noto bug EternalBlue e deposita l'eseguibile mssecsvc.exe nella directory di sistema C:\windows.

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.

Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Non si escludono ulteriori problematiche legate alla propagazione di un'ulteriore versione di "WannaCry" 2.0.

Quella della pirateria informatica è una nuova frontiera del crimine con la quale le forze dell'ordine sempre più spesso si trovano a fare i conti. In particolare la Polizia Postale, che nell'aretino e nel resto d'Italia - nonostante le notizie che danno la sezione prossima alla chiusura - è schierata in prima linea.

In Evidenza

Potrebbe interessarti

Attacco hacker, WannaCry come Criptolocker: oltre 80 casi all'anno nell'Aretino. Come difendersi

ArezzoNotizie è in caricamento