WannaCry un anno dopo, le analisi degli esperti Proofpoint

Problema WannaCry: rispondono gli esperti Proofpoint

Rob Holmes e Darien Huss, rispettivamente VP Products, Email Security e Senior Security Research Engineer di Proofpoint, hanno preso in considerazione l’attacco del criptoworm WannaCry.
L’attacco ransomware globale WannaCry è avvenuto a maggio 2017 con il criptoworm ransomware WannaCry, che ha colpito i computer con sistema operativo Microsoft Windows, crittografandone i dati e richiedendo il pagamento di un riscatto in Bitcoin. Si era propagato attraverso EternalBlue, un exploit dei vecchi sistemi Windows rilasciato da The Shadow Brokers qualche mese prima dell’attacco. Microsoft aveva rilasciato patch per chiudere l’exploit, ma le aziende che non le hanno applicate o che utilizzavano sistemi Windows ormai obsoleti hanno contribuito alla diffusione di WannaCry, che approfittava anche per installare backdoor sui sistemi colpiti.

L’attacco è stato bloccato in pochi giorni dalla scoperta con le patch di emergenza di Microsoft e un kill switch che impediva ai computer infetti di diffondere WannaCry. Si stimavano 200.000 computer colpiti in oltre 150 paesi, con danni totali che vanno da centinaia di milioni a miliardi di dollari. Da una valutazione preliminare del worm, gli esperti di sicurezza hanno ritenuto che l’attacco fosse stato originato dalla Corea del Nord o da agenzie che operavano per il paese.
A dicembre 2017, Stati Uniti, Regno Unito e Australia hanno dichiarato formalmente che ritenevano la Corea del Nord dietro le quinte dell’attacco.

I numeri di WannaCry:
L’attacco WannaCry è iniziato la mattina del 12 maggio 2017. Ha colpito oltre 230.000 computer in 150 paesi in un solo giorno (dati europol). I computer infettati sono stati 400.000. Il 98% di chi è stato attaccato utilizzava Windows 7. Eternalblue è stato uno dei 18 exploit divulgato da Shadow Brokers. Solo lo 0,07% delle vittime ha pagato il riscatto WannaCry. WannaCry era stato identificato già 191 giorni prima della sua esplosione. La patch per la vulnerabilità di Server Message Block (SMB) era disponibile 59 giorni prima dell’attacco.

Darien Huss, Senior Security Research Engineer, Proofpoint
Su quali attacchi si sono focalizzati i cybercriminali dopo WannaCry?
Dalla fine del 2017 abbiamo iniziato a osservare un aumento di attacchi focalizzati sulle criptovalute. Molti autori coinvolti in attività ransomware hanno spostato l’attenzione sulle botnet per il mining di criptovalute, mentre altri gruppi, focalizzati solitamente su trojan bancari e remote access trojan (RAT), hanno cominciato a diffondere moduli per il mining con i loro payload pericolosi.
Inoltre, nel 2017 abbiamo rilevato hacker sponsorizzati dalla Corea del Nord che seguivano sia le grandi operazioni in borsa sia quelle più piccole di investitori ed entusiasti delle criptovalute. Nel 2018 osserviamo un interesse costante in Corea del Nord per il furto di criptovalute, con un attacco recente avvenuto ad aprile, in cui sono state rubate diverse centinaia di migliaia di dollari in criptovalute a utenti della Corea del Sud.

Il numero di attacchi alla sicurezza dei dati è aumentato o diminuito nell’ultimo anno?
Questi attacchi continuano a essere una minaccia reale per le aziende. Ad esempio, nel 2017 ci sono state alcune violazioni di dati, tra cui l’attacco Equifax (furto di dati di oltre 147 milioni di utenti negli Stati Uniti e di circa 700.000 nel Regno Unito). Un’altra violazione significativa è avvenuta all’inizio del 2018 quando il servizio Under Armour’s MyFitnessPal è stato compromesso e sono stati rubati i dati personali di circa 150 milioni di utenti.

Il settore pubblico è stato in grado di adeguare i propri sistemi con successo dall’attacco?
Molte aziende del settore pubblico sono spesso accusate di essere lente ad adottare le best practice IT e di sicurezza, tuttavia è incoraggiante vedere alcune organizzazioni rompere gli schemi per incrementare le proprie difese.

In base alla vostra ricerca, i cybercriminali si stanno allontanando dallo stile di Wannacry? In caso affermativo, è perché pensano che le persone siano più preparate ad attacchi simili?
Abbiamo visto molti cybercriminali adottare lo stile di attacco di WannaCry. Nel giugno scorso, l’attacco di successo NotPeya ha incorporato alcune delle stesse tecniche, come EternalBlue, per diffondersi sulle reti aziendali. Abbiamo rilevato anche botnet per il mining di criptovalute, come Adylkuzz, che hanno adottato metodi di propagazione simili. Più di recente, abbiamo pubblicato i risultati su una botnet per il mining di Monero, Smominru, in cui il metodo principale di infezione era EternalBlue. In base ai trend rilevati lo scorso anno, possiamo affermare che continueremo ad assistere ad attacchi di sfruttamento di massa da parte dei cybercriminali per raggiungere i loro obiettivi.

Come si stanno facendo strada i cybercriminali dopo WannaCry?
Le email restano il vettore di attacco principale. Molti continuano a utilizzare campagne di spam massicce nel tentativo di compromettere il numero più vasto di utenti, mentre altri selezionano una o due campagne di spear phishing per infettare i propri target. Ad esempio, gli autori motivati da obiettivi finanziari, come Carbanak e FIN7, hanno continuato a innovare le proprie tecniche di spear phishing.
In una campagna di Carbanak/FIN7, il documento pericoloso era stato inviato al target attraverso un sistema di ticketing web, per superare le difese di protezione email tradizionali.

Anche chi opera per alcuni Paesi sta continuando a innovarsi. Un esempio dello scorso anno è l’attacco supply chain in cui l’azienda Piriform, acquisita da Avast, era stata compromessa per diffondere aggiornamenti pericolosi agli utenti CCleaner. L’aggiornamento era stato scaricato 2,27 milioni di volte, mentre il payload successivo era stato diffuso solo a 40 target. Questo insegna due importanti lezioni alla community di sicurezza: in primis, condurre sempre assessment completi di sicurezza, prima, durante e dopo le negoziazioni M&A. In secondo luogo, aziende pubbliche e private dovrebbero attivare monitoraggio e controlli di sicurezza per mitigare attacchi di supply chain simili in futuro.
I service provider rappresentano un altro vettore utilizzato da diversi autori per fornire una superficie di attacco più ampia rispetto ai target attuali. Ad esempio, Atos, il service provider IT per le Olimpiadi invernali di Pyeongchang, in Corea del Sud, era stato violato e utilizzato come vettore di infezione per il worm Olympic Destroyer, che ha interrotto molti sistemi IT prima della cerimonia di apertura dei Giochi.

Rob Holmes, VP Products, Email Security, Proofpoint
WannaCry è stato un punto di svolta per la cyber sicurezza nel mondo? Se sì, come?
Sì, insieme a NotPetya. Rappresentano gli incidenti di sicurezza noti più costosi della storia, non rivolti verso uno specifico target di aziende (almeno dopo aver iniziato a diffondersi), ed entrambi attribuiti all’intelligence di un paese. Hanno aggiunto un nuovo tipo di minaccia ai modelli di difesa: worm con intenti distruttivi, diffusi con tecniche potenti (sia Eternalblue e le tecniche del red team utilizzate da Notpetya).

Quale impatto ha avuto WannaCry sulle aziende e sui loro investimenti/posizione sulla cyber sicurezza?
Aziende e l’industria in generale hanno iniziato a stabilire priorità per il tipo di modello (reti zero trust, come Google’s BeyondCorp) e di risoluzioni (patch rapide, segmentazione di rete) che aiutano in caso di attacchi simili, in generale rari ma di forte impatto, al contrario del phishing quotidiano e altri problemi simili che le società affrontano decisamente più spesso.
Vulnerabilità “Wormable” sono piuttosto rare, anche se i problemi alla supply chain software evidenziati da NotPetya non lo erano, e le aziende specializzate in sicurezza hanno iniziato quindi a prenderle in considerazione.

Vedremo un WannaCry2 nel 2018?
L’abbiamo già visto nel 2017: NotPetya.
Una serie di potenti cyberattacchi che utilizzavano il malware Petya, iniziata il 27 giugno 2017, ha sommerso i siti di organizzazioni dell’Ucraina, tra cui banche, ministeri, redazioni e aziende elettriche. Attacchi simili sono stati registrati in Francia, Germania, Italia, Polonia, Russia, Regno Unito, Stati Uniti e Australia.
Il 28 giugno 2017 ESET aveva stimato che l’80% delle infezioni fosse avvenuto in Ucraina, seguita dalla Germania con il 9%. Lo stesso giorno, il governo ucraino aveva affermato che l’attacco era stato interrotto. Il 30 giugno, Associated Press aveva riferito che gli esperti concordavano sul fatto che Petya si stesse mascherando da ransomware, mentre in realtà era stato progettato per causare il massimo danno, con l'Ucraina come obiettivo principale.

A dicembre 2017, Stati Uniti, Regno Unito e Australia hanno affermato formalmente che la Corea del Nord fosse a capo dell’attacco. Qual è il vostro punto di vista?
Prima di attribuire responsabilità da parte di determinati Paesi rispetto a gruppi hacker, è importante fare un passo indietro e analizzare il panorama globale delle minacce.
In generale, abbiamo visto un aumento di autori sponsorizzati da governi nazionali negli ultimi anni, tuttavia, i loro attacchi rappresentano meno dell’1% del volume mondiale. Il restante 99% ha un impatto reale sull’economia globale e i suoi utenti.
L’attribuzione di un gruppo hacker sponsorizzato è complicata e spesso i legami tra cybercriminali esterni e regimi discussi possono essere poco chiari. Ad esempio, alcune volte un attacco può essere realizzato da una terza parte che un paese decide di finanziare solamente in seguito.