Un clamoroso attacco cracker ha avuto luogo nel pomeriggio in tutto il mondo. La notizia, clamorosa, prende corpo sui social network e giunge presto alla BBC, che ne tratteggia l’ampio perimetro: dal Regno Unito alla Spagna, passando forse anche per l’Italia, ma con folta presenza anche in Russia e altri paesi dell’est. L’attacco sarebbe legato al ransomware “Wannacry” e sarebbe deflagrato contemporaneamente per causare quanto più caos possibile. Caos che, secondo quanto emerso, i malintenzionati starebbero tentando anche di monetizzare.
Wannacry: un attacco con finalità di lucro
Il malware sarebbe stato installato con modalità ancora non meglio precisate sui sistemi di molte organizzazioni, tra le quali molti centri ospedalieri (il National Health Service inglese risulta essere l’organizzazione più colpita). I computer colpiti sono bloccati e, molto semplicemente, per sbloccarli è richiesto un pagamento. Un vero e proprio riscatto, insomma: 300 dollari da versare in Bitcoin, pena l’impossibilità di utilizzare il sistema. Il tutto assume particolare gravità proprio nei centri ospedalieri, ove non è possibile tener bloccati i sistemi informatici a lungo pena l’impossibilità di offrire servizi ospedalieri ai degenti.
36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge. pic.twitter.com/EaZcaxPta4
— Jakub Kroustek (@JakubKroustek) May 12, 2017
La scelta dei Bitcoin è ovvia: la perdita della tracciabilità del pagamento mette al sicuro i cracker consentendo a questi ultimi di incassare senza rischio alcuno. Le segnalazioni intanto si stanno moltiplicando in tutto il mondo e sarebbero oltre 70 i paesi coinvolti. Secondo la BBC sarebbe stata coinvolta anche un’università italiana: la fonte sembra essere quella di alcuni tweet provenienti dall’Università di Milano.
A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv
— smooth operator (@dodicin) May 12, 2017
Al momento non è possibile delineare il perimetro esatto del coinvolgimento italiano, che emergerà soltanto con il passare delle ore (e con ogni probabilità solo con il rientro al lavoro a inizio settimana). Il consiglio che è stato dato agli ospedali coinvolti nel Regno Unito è stato quello di spegnere i pc per evitare che il malware possa diffondersi nei sistemi e che possa mettere sotto ostaggio altri hard disk: saranno i tecnici ad intervenire per cercare di porre rimedio laddove il ransomware si è già manifestato.
Cos’é Wannacry
Wannacry è il soprannome del malware “Wannacryptor 2.0“. La sua forza sta nel fatto che è in grado di colpire una vulnerabilità dei sistemi Windows. La vulnerabilità è stata definita critica (dunque al massimo livello di allerta) dalla stessa Microsoft, la quale ha rilasciato l’apposita patch lo scorso mese di marzo, in occasione del canonico aggiornamento mensile il primo martedì del mese. La patch che bisogna assicurarsi di aver installato è la numero 10 (MS17-010). Spiegavamo su Webnews in quella occasione:
La vulnerabilità è relativa a un bug in SMB di Windows in cui la corruzione della memoria potrebbe consentire ad un utente malintenzionato non autenticato di mandare in crash da remoto una macchina
Un malintenzionato che è in grado di mandare in crash la macchina può sfruttare questo meccanismo anche per mettere in moto un meccanismo truffaldino come quello del Wannacryptor 2.0: se il pagamento non viene effettuato entro una data specifica, i file contenuti nel sistema saranno criptati e pertanto definitivamente sottratti dalla possibilità di essere recuperati. Nulla di nuovo nel panorama del malware, peraltro: il recente rapporto Clusit aveva già evidenziato l’esponenziale aumento di attacchi in corso, spesso e volentieri proprio con finalità di lucro.
Una minaccia vera e propria, lanciata a grappolo su un alto numero di vittime e obbligando queste ultime alla scelta più gravosa: perdere tutto e formattare le macchine, oppure pagare e sperare di salvare i propri file. Va ricordato come ad essere sotto attacco sia anzitutto la rete britannica dell’NHS: secondo quanto ufficializzato, sarebbero almeno 16 i centri ospedalieri sotto scacco in Gran Bretagna.
Perché chiamarli “cracker”
Un malware con finalità di lucro che chiede un riscatto monetario alle vittime in cambio dei loro file: non c’è ragione al mondo per definire “hacker” i cybercriminali che portano avanti un attacco di questo tipo ed è per questa ragione che Webnews utilizza il termine “cracker” per definire la banda che sta tenendo in ostaggio i pc vulnerabili oggetto dell’attacco.
È anche colpa della NSA
Secondo quanto emerso fin dalle prime ore in cui si è sviluppato l’attacco, è apparso chiaro come il codice da cui trae origine il problema sia di diretta derivazione da un precedente codice sviluppato dalla NSA. Quest’ultimo è emerso soltanto lo scorso mese di aprile, portato alla luce dal misterioso gruppo “Shadow Brokers“, i quali hanno reso noto come, tramite il cosiddetto “Eternal Blue“, la NSA avrebbe potuto accedere ad un enorme numero di sistemi in tutto il mondo.
La NSA era evidentemente venuta a conoscenza del bug in Windows e, invece di segnalarne l’esistenza, ne aveva tratto giovamento ufficialmente a scopo di ricerca contro il terrorismo internazionale. Una sorta di backdoor, della quale Microsoft non era a conoscenza, che la National Security Agency statunitense poteva sfruttare a proprio piacimento con una potenza di fuoco di enorme portata.
Alcuni indizi legati alla situazione in Siria ha fatto pensare che il gruppo “Shadow Brokers” possa avere base in Russia, ma in realtà non si conosce molto in proposito. Dallo sviluppo di Eternal Blue da parte della NSA e dal successivo leak che ha portato alla luce tali attività, ha però certamente tratto origine l’attacco che ha preso il largo nelle ultime ore. L’offensiva ha sicuramente portato ad una vasta raccolta di denaro, il cui uso e le cui destinazioni non sono però date a sapersi.
Cosa fare in caso di attacco?
Onde evitare di cadere vittime di questi attacchi è fondamentale mantenere sempre aggiornato il proprio sistema operativo, installando i puntuali aggiornamenti che Microsoft e altre software house distribuiscono mensilmente attraverso la diramazione di appositi bollettini (nonché tramite aggiornamenti automatici).
La semplice installazione degli aggiornamenti evita di essere esposti a gran parte dei pericoli più gravosi. Ogni mese, da molti anni, i lettori di Webnews.it possono sapere cosa contengono i bollettini, come si effettua l’aggiornamento e perché certi aggiornamenti sono più importanti di altri. Il consiglio primo è dunque quello di installare le patch: soltanto l’utilizzo di sistemi sempre aggiornati mette al riparo da attacchi di questo tipo, particolarmente pericolosi quando applicati su vulnerabilità critiche. Il problema è più grave all’interno di organizzazioni che, nell’ottica della spending review, evitano di aggiornare i propri sistemi: vecchie versioni di Windows che non possono più essere aggiornate rischiano di trovarsi “nude” di fronte agli attacchi esterni ed una singola vulnerabilità può diventare letale. Così è stato ad esempio per la NHS, a cui ora Wannacry ha presentato il conto.
Porre attenzione agli allegati in arrivo nelle email, nonché al click improvvido su link provenienti da fonti non affidabili, inoltre, è quanto dovrebbe fare chiunque utilizzi personal computer contenenti informazioni importanti, anche e soprattutto su personal computer pubblici o all’interno di organizzazioni.
Impossibile capire al momento cosa occorra fare invece nel caso in cui ci si trovi il computer già bloccato. Il consiglio è quello di rivolgersi a professionisti in grado di salvare quanto possibile, evitando che il malware possa diffondersi ulteriormente e salvando quanto possibile. Si consiglia ovviamente di evitare il pagamento, poiché è questo il motivo primo che porta i cracker ad investire nelle proprie iniziative in cerca di lucro facile. Spegnere subito il PC in attesa di un intervento è inoltre una buona pratica per evitare che il problema possa estendersi, mettendo sotto scacco nuovi file o replicandosi presso altri utenti secondo le modalità previste dall’autore del codice maligno all’origine del problema.