A partire dal tardo pomeriggio del 5 maggio 2017 è stato condotto un attacco hacker su scala mondiale. Sembra una affermazione assurda, impossibile, ma è così. Gli obiettivi non erano precisi, sono stati colpiti gli ospedali, le università ed altri luoghi pubblici. Successivamente si è allargato anche nei posti di lavoro di aziende private, come le compagnie telefoniche. Dal punto di vista geografico sono stati coinvolti ben 74 Paesi, a partire dalla Spagna e dalla Gran Bretagna.
Il colpevole di tutto ciò si chiama WanaCrypt0r 2.0, anche abbreviato in WCry o WannaCry. Si tratta di un ransomware, ovvero una specifica tipologia di malware che blocca il dispositivo infetto, per poi chiedere un riscatto per sbloccarlo.
Subito dopo la prima diffusione in Spagna ed in Gran Bretagna, i due Paesi hanno comunicato il tutto all’European Police Office (Ufficio di Polizia Europeo) che, dopo una breve analisi generale, ha reso pubblica l’informazione tramite il suo portavoce Jan Op Gen Oorth:
La Gran Bretagna e la Spagna hanno chiesto aiuto sui cyberattacchi che hanno preso di mira alcuni ospedali britannici e la rete telefonica in Spagna.
Nello specifico è stato colpito il National Health Service (Sistema Sanitario Nazionale del Regno Unito) e diverse azienda private in Spagna, soprattutto a Madrid. Poche ore dopo la BBC ha dichiarato che il numero di Stati colpiti si è ingigantito, arrivando a 99. In particolar modo, le notizie sono arrivare da Portogallo, Ucraina ed Italia. Proprio nel nostro Paese è stata scattata una delle foto che ha fatto il giro del web, all’interno dell’Università degli Studi di Milano-Bicocca, dall’utente twitter @dodicin e che possiamo osservare qui in basso.
Come riportato alle 10:18 sulla pagina Facebook del Commissariato di PS Online – Italia, la situazione del ransomware in Italia sembra essere sotto controllo, anche se non è si ancora del tutto fuori pericolo.
Infine, il Ministero Interno Russo ha dichiarato di essere colpito dall’attacco informatico. A rendere pubblica la notizia è stata Irina Volk, portavoce del Ministero citato in precedenza. Poco dopo, le agenzie di stampa russe hanno precisato che sono stati colpiti circa mille computer, ma che i server del Ministero non sono stati infettati. Inoltre, la portavoce ha aggiunto che un team di esperti sta lavorando per risolvere il problema e rilasciare un aggiornamento che non dia una “seconda possibilità” al malware.
WannaCry è il “classico ransomware” che una volta presente nel PC, blocca l’intero sistema rendendolo inutilizzabile. Ma come funziona? Una volta che è presente nella rete locale, WannaCry sfrutta la falla che si trova nell’SMB Server di Windows. È bene ricordare che la falla in questione è già stata risolta ed aggiornata da Microsoft, tramite un security update rilasciato durante il mese di marzo. Difficilmente i PC pubblici e aziendali vengono costantemente aggiornati, alcuni sono addirittura basati su Windows XP, per questo sono stati colpiti dal ransomware.
Gli exploit che vengono sfruttati da WannaCry sono EternalBlue e DoublePulsar. Entrambi sono stati scoperti e sfruttati dalla National Security Agency (NSA) già da tempo tramite dei tools, per questioni di Sicurezza Nazionale Americana. Gli stessi exploit sono entrati in mano di alcuni hacker da marzo di quest’anno, per poi essere risolti da Microsoft tramite update.
Una volta infettato il PC, il ransomware installa una serie di programmi che creano chiavi e valori nel registro di sistema di Windows. Questo fa si che vengano bloccati tutti i file presenti sull’Hard Disk (HDD) o sul Disco a Stato Solido (SSD). Se una periferica di archiviazione esterna è collegata al PC, anche i dati presenti in quest’ultima saranno bloccati da WannaCry. Non c’è possibilità di ripristino in quando vengono bloccate le immagini del sistema operativo create in precedenza, impedendo l’accesso agli strumenti di Windows dedicati al ripristino.
Per poter sbloccare tutti i file e far tornare il PC alla normalità è richiesto un pagamento in bitcoin. La cifra iniziale era pari a 300 Dollari, ma con il passare del tempo e la diffusione dell’attacco a livello mondiale il prezzo è salito a 600 Dollari. Ovviamente non c’è alcuna “garanzia” che il PC venga sbloccato realmente. Gli indirizzi bitcoin utilizzati dai criminali informatici e confermati da Kaspersky sono:
Può sembrare strano, ma la procedura da seguire per non essere coinvolti dell’attacco è abbastanza banale. Basta scaricare ed installare la patch di sicurezza rilasciata da Microsoft nel mese di marzo. Se si vuole essere ancora più tranquilli, si può disabilitare SMB tramite Attiva o disattiva funzionalità di Windows. Le versioni che possono essere colpite da WannaCry, se non aggiornate alla versione di marzo, sono:
Non sono coinvolti altri sistemi operativi, né desktop né mobile.