Italiano Inglese

SambaCry: quando ad essere preso di mira dagli hacker è il mondo Linux.

Quella che fino ad oggi sarà ricordata come la più diffusa cyber offensiva mondiale perpetrata verso computer Windows, ossia WannaCry che ha bloccato i pc di mezzo mondo con numeri altissimi di diffusione (pari a più di 100 mila attacchi, 150 paesi colpiti, ospedali britannici mandati in tilt e anche 2 università italiane), si presta ad avere la sua controparte anche nel meno diffuso, e a detta di molti esperti anche più sicuro, mondo di Linux. E così migliaia di potenziali vittime tra i server Linux che utilizzano la piattaforma Samba per la condivisione di file e stampanti in rete locale rischiano di veder trasformati i loro computer in “zombie” pronti a generare una cosiddetta “cripto-valuta” ed arricchire gli hacker che stanno attaccando questa suite di strumenti utilizzati per la condivisione tra reti miste windows e linux, implementando il protocollo di rete SMB. Tale bug implementato in Samba, simile a quello che ha scatenato WannaCry, permetterebbe ad un hacker sufficientemente preparato di prendere il controllo della macchina. Tale vulnerabilità, affinché un attaccante possa caricare un codice arbitrario da eseguire in remoto, richiede sia che il computer su cui è eseguito il servizio Samba abbia attiva la condivisione di file e/o stampanti sulla porta 445, sia che questa sia raggiungibile da Internet, ed infine che chiunque abbia permessi di scrittura su tali condivisioni li abbia in percorsi predefiniti o facilmente indovinabili. La vulnerabilità era già nota da tempo, così come la possibilità che venisse sfruttata per eseguire azioni malevoli, ma solo a distanza di mesi è stato individuato il primo Trojan in grado di violare quei sistemi Linux che utilizzano la piattaforma open source Samba. Rispetto all’attacco WannaCry la buona notizia è che gli hacker stavolta non stanno prendendo in ostaggio i file degli utenti richiedendo loro dei soldi per essere sbloccati (un cosiddetto attacco ransomware). E allora cosa hanno in mente questa volta?

Il malware agisce in maniera estremamente metodica. Per prima cosa verifica la possibilità di accedere in modalità scrittura sul disco, copiando al suo interno un file di testo composto da 8 caratteri casuali. Se il tentativo ha successo, SambaCry cancella il file e procede con l’attacco. L’obiettivo della diffusione di SambaCry sembra legato alla cripto-valuta Monero. Nei computer degli sfortunati utenti, infatti , viene installato un software che permette agli hacker di utilizzare la potenza di calcolo dei server Linux per generare questa cripto-valuta simile a Bitcoin che sta diventando molto popolare tra i cyber-criminali. Monero, infatti, ha caratteristiche tecniche che promettono di garantire l’assoluto anonimato nelle transazioni, rendendola una valuta ideale per operazioni illegali. Ma questo potrebbe essere solo l’inizio per i cyber criminali dal momento che gli analisti di Kaspersky (nota società di antivirus che ha lanciato l’allarme sulla nuova minaccia informatica) hanno notato nelle loro analisi che il componente installato nei computer infetti apre effettivamente l’utilizzo a diverse possibilità, sia dall’installazione di ulteriori malware sia dal controllo totale remoto della macchina a totale discrezione e piacimento degli hacker. La consolazione per gli utenti è che, per ora, l’operazione non abbia portato ai cyber criminali grandi guadagni (circa 5.400 dollari caricati nel wallet XMR, sigla delle monete di Monero) e che il numero di server vulnerabili all’attacco non è così elevato: circa 100.000 secondo i ricercatori di Rapid7, e dopo l’annuncio e la pubblicazione degli aggiornamenti che correggono il bug, tale numero dovrebbe essersi drasticamente ridotto. Se possedete o gestite computer che utilizzano Samba il consiglio è di assicurarsi per bene della versione installata sulla propria macchina (sia la 4.6.4, la 4.5.10 che la 4.4.14 contengono la patch che dovrebbe assicurare di essere immuni all’attacco SambaCry).

Noto da questa nuova vicenda, e con una certa nota positiva, che molto spesso le previsioni degli analisti e dei ricercatori di società informatiche che si occupano di cyber attacchi e diffusione di virus ed altri malware, quasi sempre si rivelano veritiere. Non sono però da meno gli hacker che, una volta venuti a conoscenza della vulnerabilità del software, in brevissimo tempo utilizzano quella falla di sicurezza per portar avanti i loro scopi. Aggiornare, quindi, rimane ancora una volta la soluzione migliore per aver la certezza che eventuali bachi del sistema siano stati corretti con le versioni successive. E gira voce tra il mondo Linux che tale vulnerabilità sia presente da circa sette anni anche se fino ad oggi non ha mai fatto così gola agli hacker.

Gianluca Cimini

Gianluca Cimini - SambaCry