Wannacry 2.0  (chiamato anche WanaCrypt0r 2.0) è l’ultimo attacco ransomware di scala globale che ha colpito più di duecentomila computer in tutto il mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell’interno russo, l’Università degli Studi di Milano-Bicocca.

Viene eseguito mediante remote Shell execution attacco portato con l’utilizzo di metaxploit.

Per avere accesso alla macchina da attaccare viene utilizzato un exploit creato dalla NSA dal nome EternalBlue per creare backdoor che permette l’accesso alla macchina target e mediante l’uso di dll injection portato con Doublepulsar per eseguire il payload.
Tale tipologia di attacco viene eseguita con l’utilizzo di botnet.

Le macchine target sono Windows 7 e Windows Server 2008 e il servizio target è SMB v 1.0. Per evitare attacco occorre installare patch Microsoft rilasciate nel mese di marzo 2017 e disattivare SMB v 1.0.

Sono in oltre disponibili online le firme per ids/ips in grado di riconoscere exploit EternalBlue.

RaPToR intercetta e protegge la postazione anche in questo tipo di attacco grazie ai sui complessi meccanismi di analisi comportamentale correlati con analisi di entropia e attività di monitoraggio sul file system.

Scarica subito il bollettino di Cyber Intuition in pdf
con le informazioni tecniche sul ransomware WANNACRY

Bollettino WANNACRY