Oltre 200 mila computer colpiti in 150 paesi. È il bilancio, assolutamente provvisorio, dei danni provocati dal ransomware “Wannacry”, un software malevolo costruito sfruttando vulnerabilità (in gergo “exploit”, nel caso specifico nota come “Eternalblue”) di alcune versioni di Windows. Queste falle del sistema Microsoft sono state utilizzate dalla National Security Agency statunitense per infiltrare la rete Swift e rese pubbliche dal misterioso gruppo hacker “Shadow Brokers” lo scorso aprile.

Microsoft, che ieri per la prima volta in un comunicato ha tirato in causa NSA deplorando i rischi insiti nell'arsenale di “exploit”cui dispongono le agenzie governative, aveva già provveduto a rendere disponibili le “toppe” per difendersi dagli attacchi. Come si è visto sono però molti gli utenti che non hanno provveduto ad aggiornare i software. Non è detto inoltre che il peggio sia passato.

Matthieu “Matt” Suiche, hacker francese e fondatore della società di sicurezza informatica Comae Technologies, ha individuato nelle scorse ore un secondo kill switch che ha permesso di bloccare una nuova ondata di attacchi. Quasi un eroe. “Kill switch” è il sistema che consente a chi progetta il malware di bloccarne la diffusione e che è stato utilizzato anche dal ricercatore britannico che ha arginato il primo assalto. Tecnicamente si attiva registrando un dominio codificato nel virus.

Nelle ricerche è comparsa però anche una versione in cui questa “uscita di sicurezza” non è presente, cosa dobbiamo aspettarci nei prossimi giorni?
«Fortunatamente la versione senza kill switch era quello che si chiama un falso positivo ossia che non si sta propagando. Inoltre era presente soltanto su una piattaforma di condivisione di malware chiamata virustotal. Ritengo quindi si sia trattato solo di un test, di un esperimento. La seconda variante, rilevata da me, conteneva invece questo “interruttore” che sono riuscito ad attivare attraverso la registrazione di un secondo dominio. Al momento sono questi due domini che stanno mantenendo il web “in sicurezza”. Il problema è che anche i malware possono avere dei difetti ma per chi li ha progettati è molto più semplice correggerli rispetto alle modifiche necessarie per mettere in sicurezza un sistema operativo. Nelle ultime 24 ore comunque non ho rilevato nuove varianti di Wannacry e spero che in questo intervallo di tempo molti sistemi siano stati aggiornati».

In un primo momento le autorità spagnole hanno ipotizzato un'origine cinese degli attacchi. Poi è circolata la voce che si trattasse di hacker russi. Il fatto che il virus non escluda i sistemi con i caratteri del cirillico attivati indebolisce però questa ipotesi. Lei che opinione si è fatto?
«Per ora nessuna opinione precisa, anche se nelle ultime ore abbiamo scoperto alcune similitudini con Centopee, un malware usato da Lazarus Group (gruppo hackers riconducibile alla Corea del Nord). Al momento è però davvero troppo presto per trarre delle conclusioni e non credo che le voci circolate in questi giorni abbiano una qualche reale attendibilità».

Che cosa bisogna fare per difendersi da questo attacco?
«I computer che utilizzano Windows 10 sono al sicuro. Per tutti gli altri è opportuno effettuare il prima possibile gli aggiornamenti già messi a disposizione da Microsoft».

È possibile che in futuro possano comparire nuovi virus costruiti sfruttando le informazioni messe in rete da Shadow Brokers?
«Certamente si. Queste vulnerabilità potranno essere usate anche per altri scopi. Finché ci saranno aziende e utenti con sistemi non aggiornati con le nuove protezioni sarà possibile assistere a nuove ondate di attacchi».

© Riproduzione riservata