Exploit NSA usati dai cybercriminali

By
Luca Sambucci
-
WanaDecrypt0r 2.0
WanaDecrypt0r 2.0

Il mese scorso il gruppo noto come “Shadow Brokers” ha reso pubblici alcuni tool usati dall’NSA fino al 2013, fra i quali “EternalBlue“, un exploit per sistemi Windows da XP in poi, e “DoublePulsar“, una backdoor sempre per Windows.

Oggi ha iniziato a circolare una nuova versione del ransomware chiamato “Wana Decryptor” – di per sé un malware tutt’altro che degno di nota e già identificato a inizio anno – nel quale però i cybercriminali hanno ora inserito i tool dell’NSA pubblicati da Shadow Brokers. E poiché come sempre accade non tutti gli utenti Windows hanno aggiornato i sistemi alle ultime patch di Microsoft, rilasciate nel marzo scorso e che in teoria “chiudevano le falle”, decine di migliaia di computer nel mondo sono stati infettati dal ransomware.

Si parla di 57.000 PC in 74 Paesi, ma in questi casi non è pensabile mettere limiti geografici, data la vastità dell’infezione è chiaro che i PC saranno molti di più, così come i Paesi colpiti (fra i quali, ovviamente, vi è anche l’Italia). Solo per fare un esempio, qualche settimana fa un’azienda di sicurezza svizzera aveva affermato di aver scoperto ben 428.827 macchine infette da DoublePulsar. Insomma, la strada per il malware è tutta in discesa.

Wana Decryptor in “versione NSA” non ha risparmiato nessuno, segno che si è trattato molto probabilmente di un’operazione criminale. Fra le organizzazioni colpite dal malware vi è Telefonica in Spagna, ospedali e cliniche nel Regno Unito, il Ministero degli Interni russo e svariate università in Cina.

Fonti:
https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1
https://twitter.com/hackerfantastic/status/852958717746315264/video/1
https://twitter.com/kafeine/status/863049739583016960
https://intel.malwaretech.com/WannaCrypt.html
https://www.bloomberg.com/news/articles/2017-05-04/seriously-beware-the-shadow-brokers
http://varlamov.ru/2370148.html
https://bbs.hupu.com/19191136.html
https://www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/

Luca Sambucci
Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.