WanaDecrypt: metodo per liberare pc attaccati da Wannacry

news sicurezza

WanaDecrypt, ecco il metodo per liberare i pc attaccati da Wannacry senza
pagare il riscatto

Mentre si moltiplicano le ipotesi sugli autori e il funzionamento di
WannaCry, un ricercatore francese esperto di crittografia ha trovato una
falla nello stesso malware per renderlo inefficace. Solo su Windows XP, per
ora

di ARTURO DI CORINTO

19 maggio 2017

UN RICERCATORE francese, Adrien Guinet, afferma di aver trovato il modo di
liberare i file presi in ostaggio dal ransomware WannaCry senza pagare il
riscatto. La sua soluzione, basata sulla manipolazione delle chiavi
crittografiche usate per bloccare i computer durante l’attacco che ha
colpito 150 paesi e 200mila sistemi, funziona per adesso sui soli computer
Windows XP. E funziona se il computer bersaglio non è già stato riavviato
dopo l’infezione perché tale operazione impedisce di recuperare,
direttamente dalla memoria del sistema infetto, i numeri primi necessari a
risalire alla chiave crittografica necessaria a decifrare i file. Ma il
ricercatore assicura che sta lavorando ad allargare la compatibilità con le
diverse piattaforme. Intanto ha messo su GitHub il software necessario a
svolgere l’operazione chiamandolo WanaDecrypt mentre altri si sono uniti a
lui per automatizzare l’operazione, con un altro tool chiamato Wanakiwi.

In attesa degli sviluppi, la tecnica individuata dal ricercatore è
funzionale a contrastare future campagne ransomware basate su attività di
phishing (quello perpetrato con le email infette) o quando scarichiamo il
malware da un sito web (drive by download). Infatti, come ha spiegato
Pierluigi Paganini, consulente del G7 italiano: “Lo schema di cifratura
implementato dal ransomware WannaCry utilizza un meccanismo di crittografia
asimmetrica basato su una coppia di chiavi pubblica/privata per la cifratura
e decifratura dei file. Per la creazione della coppia di chiavi l’algoritmo
implementato dal malware utilizza una coppia di numeri primi, noti i quali è
quindi possibile risalire alla chiave per decifrare i file. Una volta creata
la chiave per decifrare i file, WannaCry procedeva alla sua cancellazione
del sistema infetto, tuttavia il codice malevolo non cancella i numeri primi
usati nel processo di generazione. Adrien Guinet ha sviluppato un tool in
grado di recuperare i numeri primi dalla memoria del sistema infetto e,
applicando l’algoritmo di generazione della coppia di chiavi, risalire alla
chiave per decifrare i file”.

Capire chi è stato. Con le dovute cautele quando si tratta di virus e codici
complessi, questa “vulnerabilità” del virus (tecnicamente un cryptoworm)
potrebbe offrire un nuovo indizio sugli autori e sugli obiettivi
dell’attentato informatico che, nonostante le proporzioni, avrebbe potuto
essere più ampio e dannoso. E potrebbe essere una sorta di avvertimento da
parte dei veri autori dell’attacco. Infatti, nonostante i primi sospetti
verso i russi, nonostante le accuse sui nordcoreani per la somiglianza dei
codici usati in WannaCry e quelli usati in un altro attacco partito da un
gruppo di hacker della Corea del Nord e denominato Lazarus, non sappiamo
ancora chi è stato. E tutti gli elementi utili a capirlo vanno considerati
in uno scenario di guerriglia informatica che ci coinvolge tutti.

Cosa è accaduto. Nella notte tra il 12 e 13 maggio WannaCry ha colpito i
sistemi Windows non aggiornati bloccando ospedali, treni, banche e aziende
automobilistiche, chiedendo un riscatto – tra i 300 e i 600 dollari in
bitcoin – generando meno di 100mila dollari di utile per i cybercriminali.
Il 13 maggio un giovane 22enne inglese con un’operazione di reverse
engineering ha individuato all’interno del malware un “interruttore”, una
sorta di kill switch, e ha momentaneamente tamponato la pandemia generata
dal virus battendo sul tempo le aziende di cybersecurity.

I dubbi. Ci si domanda allora come sia possibile che un gruppo di
cybercriminali, interessati a guadagnare il più possibile dal ransomware
abbia previsto una procedura per bloccare la sua stessa diffusione. Insieme
alla vulnerabilità scoperta dal francese si tratta di un fatto che lascia
pensare che i creatori del malware volessero dare solo una prova delle loro
capacità per ricatti futuri o già in corso, valutarne i danni e testare gli
effetti mediatici e politici della loro azione. “A pensare male si fa
peccato però spesso ci si azzecca”, recita un noto adagio, perciò alcuni vi
hanno visto un piano su larga scala, messo in pratica da un nation state
actor, cioè un gruppo di paramilitari informatici al soldo di un governo
canaglia. Infatti subito dopo la scoperta del giovane informatico inglese è
stata diffusa una variante di WannaCry senza interrutore e poco dopo abbiamo
scoperto che un altro malware che usava la stessa tecnologia di attacco di
WannaCry, cioè gli exploit della Nsa Eternal Blue e Double Pulsar rubati
dagli Shadowbrokers, aveva precedentemente “schiavizzato” i computer
bersaglio per fargli produrre (mining) una moneta elettronica cifrata, la
cryptomoneta Monero, immunizzando i sistemi colpiti da Wannacry senza
danneggiarli. Insomma, un malware che blocca un altro malware più utile,
esattamente come accade con i recettori biologici dei virus animali: se sono
già occupati, il nuovo virus non riesce ad entrare.

https://github.com/gentilkiwi/wanadecrypt

https://github.com/gentilkiwi/wanakiwi/releases

da repubblica.it/tecnologia/sicurezza

Fonte: [email protected]

   Invia l'articolo in formato PDF