Prima la Spagna, poi l’Inghilterra. In quella che sarà ricordata come una giornata nera per la sicurezza informatica europea con grandi gruppi iberici e ospedali britannici bersagliati da una serie di attacchi informatici. Notizie di “infezioni” sono giunte anche da Portogallo, Russia (il ministero dell'Interno russo ha reso noto di essere stato colpito), Ucraina e da un’università italiana. Tecnicamente si tratta di attacchi “ransomware” ossia software malevoli che criptano i files memorizzati sugli hard disk e chiedono un riscatto per renderli nuovamente disponibili. La cifra richiesta è di 300 dollari da pagare in bitcoin entro il 15 maggio.

Questa mattina erano state colpite le reti interne di Telefonica e Tuenti. Allerta per una possibile infezione hanno interessato anche arrivate anche da Iberdrola e Gas Natural. Secondo i media spagnoli si sarebbe trattato di un attacco di portata nazionale anche se per ora non ci sarebbero conseguenze sulla rete telefonica gestita da Telefonica. Il gruppo ha comunque chiuso i suoi collegamenti interni in Spagna e con l'estero per prevenire la propagazione del virus. Ai dipendenti della sede centrale di Madrid è stato ordinato si spegnere pc e dispositivi collegati alla rete.

Nel pomeriggio sono stati attaccati 16 ospedali pubblici e pronto soccorso britannici di diverse aree del paese(Londra, Essex, North Hertfordshire, Southport e Ormskirk) per un attacco che Londra definisce di portata nazionale. Le visite di routine sono state annullate e gli staff medici sono stati costretti a ricorrere a carta e penna.

Le schermate apparse su PC sono le stesse. Un elemento che suggerisce ma non prova in maniera definitiva la medesima origine degli attacchi. Secondo alcune ricostruzioni l’incursione informatica proverrebbe dalla Cina, almeno per quanto riguarda quello di questa mattina in Spagna. Le autorità britanniche hanno escluso che si possa trattare di un'operazione “state sponsored” ossia orchestrata con il supporto di un governo straniero.

Secondo Stefano Zanero, esperto di sicurezza informatica che insegna al Politecnico di Milano, siamo probabilmente di fronte a un’azione non coordinata ma riconducibile a un unico gruppo. Uno schema di ransomware classico che forse ha ottenuto un risultato molto più ampio rispetto a quello che gli stessi attaccanti si aspettavano. Il fatto stesso che l’importo richiesto sia modesto dimostra come l’attacco non sia stato studiato su un obiettivo specifico ma impostato per colpire più soggetti possibile. Gli ospedali britannici potrebbero essere stati scelti in quanto soggetti non particolarmente avanzati come capacità di difesa informatica.

Il virus utilizzato negli attacchi di oggi si chiama “Wannacry” ed è costruito utilizzando vulnerabilità Windows che erano state utilizzate da Nsa per operazioni di infiltrazione (ne avevamo scritto in un recente articolo su infiltrazioni in rete Swift).

Questa mattina le autorità spagnole avevano confermato come il ransomware sfrutti proprio delle vulnerabilità di Windows Microsoft, che la società statunitense aveva reso note lo scorso 14 marzo. Non è escluso che esista qualche relazione con quanto reso noto lo scorso aprile dal gruppo hacker “Shadow Brokers” su debolezze, che in gergo si definiscono “exploit”, di alcune versioni di Windows utilizzate dalla National Security Agency statunitense per infiltrare alcune reti tra cui quella SWIFT che gestisce i pagamenti tra banche di diversi paesi.

Le autorità spagnole per la sicurezza informatica hanno definito l'attacco breve ma molto grave. È stato ipotizzato che i virus sfruttino anche le informazioni diffuse da Wikileaks relative a “Vault 7” ossia le tecniche impiegate dalla Cia per spiare attraverso pc, smartphone e televisori.

© Riproduzione riservata