Numeri certi non ce ne sono, ma le stime parlano di almeno 230mila computer in 99 Paesi presi in ostaggio. E il riscatto è stato chiesto in 28 lingue. Fra le vittime Telefonica in Spagna, il National Health Service in Inghilterra, FedEx, il ministero degli Interni russo.
Nessuno ha aperto un file, scaricato un allegato sospetto, aperto un link che non andava aperto. WannaCry si propaga via Web e colpisce da solo. Sfrutta una falla di Windows chiamata Ms17-010 reattiva ai protocolli di condivisioni di rete. Tecnicamente è un cryptoworm: infetta la macchina senza che la persona faccia nulla. Si propaga via Rete e colpisce i pc senza protezioni. O meglio: quelli non aggiornati. Sfrutta una falla di Windows nota, chiamata Ms17-010, reattiva ai protocolli di condivisioni di rete. Come un cavallo di Troia invece ha sfruttato un software chiamato EternalBlue, sviluppato dalla National Security Agency (NSA) americana e reso pubblico dal gruppo di hacker Shadows Brokers il 14 aprile.
La vulnerabilità era stata corretta da Microsoft, appunto, ma i pc infettati non erano stati aggiornati. WannaCry quindi non è un malware “zero day”, che sfrutta una falla non conosciuta e scoperta dagli hacker, si approfitta di falle di dominio pubblico che falle non sarebbero state se qualcuno si fosse preso la briga di scaricare un aggiornamento. E invece sono andati in tilt ospedali, ministeri e aziende.
L’attacco pare sia partito da serve russi e ucraini e dalla rete tor. Difficile capire l’identità o la nazionalità degli attaccanti ma fra gli esperti di cyber sicurezza si parla di uno stile che non appartiene agli hacker cinesi e che quindi fa pensare a pirati occidentali o dell’area dell’ex Unione Sovietica. È stato preparato in poco tempo, circa un mese, probabilmente da un gruppo di persone e non da un singolo.
“Colpisce la mole dell’attacco e colpisce che le vulnerabilità fossero note a tutti, in particolare a noi addetti ai lavori”, spiega Marco Ramilli, a capo della Yoroi di Bologna, azienda specializzata in sicurezza digitale. “Diciamo che, usando EternalBlue in maniera inversa, si sarebbero potute scoprire queste fragilità per correre ai ripari. Ma a nessuno è venuto in mente”. Se non quando ormai era troppo tardi.
Andreas Schwab promette di lanciarsi in un’opera ancora più forte di sensibilizzazione e quando gli facciamo notare che forse non basterà risponde: “Ma cosa pretende? Mica possiamo entrare dal Parlamento europeo nei computer di un ospedale inglese. Quelli sono enti che dipendono dallo Stato non dall’Unione europea”. Peccato che WannaCry abbia dimostrato di avere una stazza decisamente europea. Quanto fatto da Mirai prima e Hajime poi al confronto sembrano delle prove tecniche.
“Il punto che non c’è più un obbiettivo, tutto ciò che è vulnerabile viene ormai preso di mira”, commenta Cristiano Giuffrida, romano, 34 anni, in Olanda dal 2008, ricercatore nel campo della sicurezza dei sistemi informatici presso l’Università Vu di Amsterdam. “Abbiamo sempre più oggetti connessi e il numero di quelli accessibili o non aggiornati aumenta esponenzialmente. Per i cyber criminali sono risorse: quattro milioni di bollitori smart costituiscono assieme un super computer da usare in mille modi e tutti illeciti. Ma fa meno notizia di qualche pc in ospedale preso in ostaggio”.
Lascia un commento