Presumibilmente sviluppato dal gruppo nordcoreano Lazarus, WannaCry ha combinato un codice exploit rubato al governo degli Stati Uniti con un codice personalizzato per creare un worm ransomware. Il worm è stato distribuito nel maggio 2017 in un attacco globale che ha infettato circa 200.000 computer in un periodo di tre giorni. Sfruttando una vulnerabilità nei sistemi Windows, il malware potrebbe infettare nuove vittime da solo, consentendo una diffusione esponenziale su Internet.
La diffusione del malware e i danni che ha causato hanno fatto sì che l'attacco di tre giorni abbia avuto un costo globale stimato in miliardi.
Tuttavia, i danni causati da Wannacry non sono stati distribuiti in modo uniforme tra le diverse aziende e industrie. Organizzazioni come il National Health Service (NHS) del Regno Unito, che gestiva un gran numero di macchine vulnerabili, sono state particolarmente colpite. Il costo di Wannacry per il solo NHS è stimato in 100 milioni di dollari.
L'epidemia del 2017 è stata fermata solo dalla scoperta di un "kill switch" all'interno del codice di WannaCry che, una volta attivato, ha impedito al malware di diffondersi ulteriormente o di criptare i dati memorizzati su altre macchine. Dopo l'epidemia del 2017, si sono verificati altri attacchi con versioni modificate di WannaCry. Tuttavia, nessuno di loro ha raggiunto la stessa impronta, il costo o il riconoscimento dell'epidemia originale.
Come tipo di ransomware, seguirà una serie di passi ampiamente standardizzati, passando dall'infezione iniziale alla crittografia dei dati fino alla richiesta di riscatto finale.
A differenza di molte altre varianti di ransomware, WannaCry si diffonde autonomamente, anziché essere veicolato da e-mail dannose o installato tramite dropper malware.
La funzionalità worm di WannaCry deriva dall'uso dell'exploit EternalBlue, che sfrutta una vulnerabilità nel protocollo Server Message Block (SMB) di Windows. La vulnerabilità è stata scoperta per la prima volta dalla National Security Agency (NSA) e divulgata pubblicamente da Shadow Brokers.
Dopo la diffusione di EternalBlue, Microsoft ha rilasciato una versione aggiornata di SMB che ha corretto il problema nell'aprile 2017. Sebbene ciò sia avvenuto un mese prima dell'epidemia principale di WannaCry, molte organizzazioni non avevano ancora installato la patch, rendendole vulnerabili a WannaCry.
Le macchine infettate da WannaCry scansionano Internet alla ricerca di altre macchine che eseguono una versione vulnerabile di SMB. Se ne viene trovato uno, il computer infetto utilizza EternalBlue per inviare ed eseguire una copia di WannaCry sul computer bersaglio. A questo punto, il malware potrebbe iniziare la crittografia dei file del computer. Tuttavia, prima verifica l'esistenza di un determinato sito web. Se il sito web esiste, il malware non fa nulla. Si ipotizza che la presenza di questo "kill switch" sia un modo per fermare la diffusione di WannaCry (che si diffonde in modo indipendente una volta lanciato) o come mezzo per rendere più difficile l'analisi forense (poiché la maggior parte degli ambienti di laboratorio di cybersicurezza fingerà che qualsiasi sito web richiesto dal malware esista). Se il dominio richiesto non viene trovato, WannaCry passa alla fase di crittografia.
Come variante di ransomware, WannaCry è progettato per negare all'utente l'accesso ai propri file su un computer, a meno che non venga pagato un riscatto. Questo avviene attraverso l'uso della crittografia, dove il malware trasforma i dati in un modo che è reversibile solo con la conoscenza della chiave segreta. Poiché la chiave segreta di WannaCry è nota solo all'operatore del ransomware, questo costringe la vittima a pagare il riscatto per recuperare i propri dati.
WannaCry è progettato per cercare e criptare un elenco di tipi di estensione di file su un computer. Questo viene fatto per minimizzare l'impatto del malware sulla stabilità del sistema. Un computer potrebbe non essere in grado di funzionare se i file sbagliati sono criptati, rendendo impossibile per la vittima pagare un riscatto o recuperare i propri file.
Il malware WannaCry ha chiesto un riscatto di 300 dollari alle sue vittime. Tuttavia, la richiesta di riscatto era di pagare in Bitcoin, non in denaro fiat. In quanto criptovaluta, il Bitcoin è meno rintracciabile rispetto ai tipi di valuta tradizionali, il che è utile per gli operatori di ransomware, in quanto consente loro di incorporare un indirizzo di pagamento (simile a un numero di conto bancario) in un messaggio di riscatto senza che questo allerti immediatamente le autorità sulla loro identità.
Se una vittima di un attacco WannaCry paga il riscatto, dovrebbe ricevere una chiave di decriptazione per il suo computer. Ciò consente a un programma di decriptazione fornito dai criminali informatici di invertire la trasformazione eseguita sui file dell'utente e di restituire l'accesso ai dati originali.
Il ransomware WannaCry dipende fortemente dall'exploit EternalBlue per funzionare. Gli autori del malware originale hanno utilizzato questa vulnerabilità per trasformare WannaCry in un worm, in grado di diffondersi da solo. In questo caso, il modo più semplice per proteggersi da WannaCry è disabilitare SMB o installare la patch fornita da Microsoft che risolve la vulnerabilità.
Tuttavia, questa è una soluzione a un problema molto specifico. Non proteggerà un'organizzazione da altre varianti di ransomware o dalla diffusione di WannaCry con mezzi diversi. Per sapere come proteggere l'organizzazione da un'ampia varietà di minacce ransomware, consulti la soluzione anti-ransomware di Check Point.