Che prima o poi sarebbe successo lo sapevano un po' tutti. E risuccederà, si sa anche questo. L’inferno nero dei cyber attacchi è in continuo movimento, con azioni mirate che si susseguono senza soluzione di continuità. Quella di ieri entrerà negli almanacchi della sicurezza informatica come una delle giornate più difficili. O forse più interessanti, dipende dai punti di vista. Decine di aziende nel mirino, 75mila attacchi, 99 Paesi colpiti, 16 ospedali britannici mandati in tilt. I numeri di WannaCry, il nome del ransowmare che ha seminato il panico, riescono a stento a dare l’esatta dimensione dell'attacco, regalando uno scenario da far tremare i polsi. E come ogni azione compiuta da pirati informatici, ciò che regna nelle ore immediatamente successive all'attacco è l'incertezza.
Di che virus si tratta
WannaCry è un ransomware che infetta le vittime sfruttando una vulnerabilità di Microsoft Windows descritta e risolta nel Microsoft Security Bulletin MS17-010. Una volta all’interno del sistema, i criminali installano un rootkit, che consente loro di scaricare il software per crittografare i dati. Il malware crittografa i file e pone sotto sequestro la macchina. L’utente si trova sullo schermo una richiesta di 600 dollari in Bitcoin come riscatto. L'alternativa è la perdita di ogni file.
Il codice rubato alla Nsa
La prima versione di WannaCry era stata intercettata un paio di mesi fa, diffusa da un'organizzazione denominata Shadow Borkers, specializzata nella commercializzazione illegale di materiale informatico rubato alla National Security Agency (Nsa) americana. Nulla, però, lasciava presagire un'aggressività del genere. Tanto che Microsoft aveva immediatamente rilasciato una patch di sicurezza. Ma gli hacker hanno approfittato del fatto che la maggior parte degli obiettivi vulnerabili - soprattutto gli ospedali colpiti - non hanno mai effettuato l’upgrade dei loro sistemi. Inoltre, WannaCry è stato potenziato con un'altra stringa di codice denominato Eternalblue, originariamente usato dalla Nsa. Il New York Times ha scritto che per la prima volta ci si trova davanti a «un'arma informatica sviluppata dalla Nsa, finanziata dai contribuenti americani e rubata da un avversario, e poi usata da cybercriminali contro pazienti, ospedali, aziende, governi e cittadini normali».
Chi c'è dietro
Le ipotesi sono le più disparate. L'organizzazione dietro WannaCry (difficile credere si tratti di cani sciolti) ha colpito 74 Paesi. Il quotidiano britannico Telegraph ha scritto di un probabile coinvolgimento russo, con i cybercriminali che rubarono il virus agli 007 americani all’indomani del raid aereo statunitense in Siria, probabilmente come rappresaglia per il bombardamento ordinato dal presidente Donald Trump. A vedere la classifica redatta da Avast circa i Paesi più interessati dall’attacco, tuttavia, la Russia è ai primi posti insieme a Ucraina e Taiwan. Per questo quella russa rimane una pista valida, ma tutta da verificare. Per Aleks Gostev, esperto di sicurezza informatica in forza a Kaspersky Labs, «c'è una alta probabilità che i cyber-criminali dietro l'attacco siano di lingua russa». E del resto il ransomware è tradizionalmente il loro campo preferito.
Che cosa è successo negli ospedali colpiti
Il ministro dell’Interno inglese, Amber Rudd, alla Bbc ha confermato l’assenza di piste concrete: «Ancora non possiamo dire chi ci sia dietro l'attacco hacker, ma le indagini proseguono per individuare i responsabili. Il nostro consiglio è chiaro: non pagare il riscatto. Per adesso tutto quello che abbiamo visto è che i pazienti hanno subito inconvenienti e alcuni ospedali e alcuni dottori sono stati costretti a cambiare la loro agenda della giornata».
Colpita anche Renault
Fra le big company colpite dall’attacco, anche la francese Renault. Lo ha confermato un portavoce dell’azienda, spiegando che i tecnici sono al lavoro da ieri pomeriggio per trovare una soluzione. Non è chiaro, per ora, quali siano i danni causati.
Siamo tutti sotto assedio
Alessandro Piva, Direttore dell'Osservatorio Information Security & Privacy del Politecnico di Milano ha parlato di un attacco che «impressiona per l’estensione nel giro di poche ore» e che soprattutto «pone l'attenzione sulla scarsa importanza data oggi alle problematiche di sicurezza nelle organizzazioni private e nelle strutture pubbliche. La sicurezza delle persone e dei dati ad esse associati viene messa in secondo piano, non considerando le conseguenze di attacchi come questi». In Italia, nel 2016, l'Osservatorio Information Security & Privacy del Politecnico di Milano «ha stimato una spesa di poco meno di un miliardo di euro destinata all’information security, con un tasso di crescita del 5 per cento. Troppo poco per garantire soluzioni tecnologiche adeguate, modelli di governo allo stato dell’arte e iniziative di educazione nei confronti dei dipendenti. In Italia solo un'azienda su due ha una figura formalizzata preposta alla gestione delle problematiche di sicurezza informatica».
© Riproduzione riservata