La Repubblica: WanaDecrypt, ecco il metodo per liberare i pc attaccati da Wannacry senza pagare il riscatto

la-repubblica-it-logoWanaDecrypt, ecco il metodo per liberare i pc attaccati da Wannacry senza pagare il riscatto

Mentre si moltiplicano le ipotesi sugli autori e il funzionamento di WannaCry, un ricercatore francese esperto di crittografia ha trovato una falla nello stesso malware per renderlo inefficace. Solo su Windows XP, per ora

di ARTURO DI CORINTO per La Repubblica del 19 Maggio 2017

UN RICERCATORE francese, Adrien Guinet, afferma di aver trovato il modo di liberare i file presi in ostaggio dal ransomware WannaCry senza pagare il riscatto. La sua soluzione, basata sulla manipolazione delle chiavi crittografiche usate per bloccare i computer durante l’attacco che ha colpito 150 paesi e 200mila sistemi, funziona per adesso sui soli computer Windows XP. E funziona se il computer bersaglio non è già stato riavviato dopo l’infezione perché tale operazione impedisce di recuperare, direttamente dalla memoria del sistema infetto, i numeri primi necessari a risalire alla chiave crittografica necessaria a decifrare i file. Ma il ricercatore assicura che sta lavorando ad allargare la compatibilità con le diverse piattaforme. Intanto ha messo su GitHub il software necessario a svolgere l’operazione chiamandolo WanaDecrypt mentre altri si sono uniti a lui per automatizzare l’operazione, con un altro tool chiamato Wanakiwi.

In attesa degli sviluppi, la tecnica individuata dal ricercatore è funzionale a contrastare future campagne ransomware basate su attività di phishing (quello perpetrato con le email infette) o quando scarichiamo il malware da un sito web (drive by download). Infatti, come ha spiegato Pierluigi Paganini, consulente del G7 italiano: “Lo schema di cifratura implementato dal ransomware WannaCry utilizza un meccanismo di crittografia asimmetrica basato su una coppia di chiavi pubblica/privata per la cifratura e decifratura dei file. Per la creazione della coppia di chiavi l’algoritmo implementato dal malware utilizza una coppia di numeri primi, noti i quali è quindi possibile risalire alla chiave per decifrare i file. Una volta creata la chiave per decifrare i file, WannaCry procedeva alla sua cancellazione del sistema infetto, tuttavia il codice malevolo non cancella i numeri primi usati nel processo di generazione. Adrien Guinet ha sviluppato un tool in grado di recuperare i numeri primi dalla memoria del sistema infetto e, applicando l’algoritmo di generazione della coppia di chiavi, risalire alla chiave per decifrare i file”.

Capire chi è stato. Con le dovute cautele quando si tratta di virus e codici complessi, questa “vulnerabilità” del virus (tecnicamente un cryptoworm) potrebbe offrire un nuovo indizio sugli autori e sugli obiettivi dell’attentato informatico che, nonostante le proporzioni, avrebbe potuto essere più ampio e dannoso. E potrebbe essere una sorta di avvertimento da parte dei veri autori dell’attacco. Infatti, nonostante i primi sospetti verso i russi, nonostante le accuse sui nordcoreani per la somiglianza dei codici usati in WannaCry e quelli usati in un altro attacco partito da un gruppo di hacker della Corea del Nord e denominato Lazarus, non sappiamo ancora chi è stato. E tutti gli elementi utili a capirlo vanno considerati in uno scenario di guerriglia informatica che ci coinvolge tutti.

Cosa è accaduto. Nella notte tra il 12 e 13 maggio WannaCry ha colpito i sistemi Windows non aggiornati bloccando ospedali, treni, banche e aziende automobilistiche, chiedendo un riscatto – tra i 300 e i 600 dollari in bitcoin – generando meno di 100mila dollari di utile per i cybercriminali. Il 13 maggio un giovane 22enne inglese con un’operazione di reverse engineering ha individuato all’interno del malware un “interruttore”, una sorta di kill switch, e ha momentaneamente tamponato la pandemia generata dal virus battendo sul tempo le aziende di cybersecurity.

I dubbi. Ci si domanda allora come sia possibile che un gruppo di cybercriminali, interessati a guadagnare il più possibile dal ransomware abbia previsto una procedura per bloccare la sua stessa diffusione. Insieme alla vulnerabilità scoperta dal francese si tratta di un fatto che lascia pensare che i creatori del malware volessero dare solo una prova delle loro capacità per ricatti futuri o già in corso, valutarne i danni e testare gli effetti mediatici e politici della loro azione. “A pensare male si fa peccato però spesso ci si azzecca”, recita un noto adagio, perciò alcuni vi hanno visto un piano su larga scala, messo in pratica da un nation state actor, cioè un gruppo di paramilitari informatici al soldo di un governo canaglia. Infatti subito dopo la scoperta del giovane informatico inglese è stata diffusa una variante di WannaCry senza interrutore e poco dopo abbiamo scoperto che un altro malware che usava la stessa tecnologia di attacco di WannaCry, cioè gli exploit della Nsa Eternal Blue e Double Pulsar rubati dagli Shadowbrokers, aveva precedentemente “schiavizzato” i computer bersaglio per fargli produrre (mining) una moneta elettronica cifrata, la cryptomoneta Monero, immunizzando i sistemi colpiti da Wannacry senza danneggiarli. Insomma, un malware che blocca un altro malware più utile, esattamente come accade con i recettori biologici dei virus animali: se sono già occupati, il nuovo virus non riesce ad entrare.