Quel virus diventato letale grazie ai codici della Nsa

ANSA

Il messaggio di richiesta di riscatto comparso sugli schermi dei computer infettati

 carola frediani

Quell di ieri è stato il «Blitzkrieg» (la guerra lampo) delle estorsioni digitali. Un attacco improvviso, massivo, fulmineo che nel giro di poche ore ha colpito 74 Paesi, mandando ko organizzazioni come il colosso spagnolo Telefonica o una serie di ospedali britannici.

«Pagate o addio ai files»

I virus del riscatto, noti come ransomware, non sono un fenomeno nuovo, e nella loro reincarnazione più aggressiva imperversano anche in Italia da almeno due anni. La dinamica è la seguente: arriva una mail che sembra provenire da un ente noto, ma è inviata dai criminali; l’utente apre l’allegato che infetta il suo pc; i file vengono cifrati e diventano irrecuperabili, a meno di non averne una copia da qualche parte; gli attaccanti lasciano le istruzioni per pagare un riscatto con la moneta elettronica Bitcoin e ottenere la chiave per decifrarli.

 

Questo era l’andamento generale fino a ieri. Che è stata però una giornata senza precedenti per l’aggressività del software malevolo impiegato e per la sua capacità di diffondersi come un incendio. Infatti esistono tante varietà di ransowmare, tante famiglie diverse, più o meno efficaci. Quella responsabile dell’esplosione di ieri si chiama «WannaCry»: esisteva da marzo, e a dire il vero non sembrava fare molti danni. Ciò che l’ha «armata», trasformandola nel panzer dei ransomware, è stato un codice di attacco, battezzato Eternalblue, che era originariamente usato dall’Agenzia nazionale per la sicurezza Usa, la Nsa.

 

Come è finito online

Tale strumento – in gergo exploit – sfruttava una vulnerabilità di un software di Microsoft. Sconosciuta ai più, almeno fino a quando, alcune settimane fa, non è stata messa online, a disposizione di chiunque, da un misterioso gruppo di hacker di nome Shadow Brokers. I quali hanno in qualche modo sottratto una serie di strumenti e di «armi digitali» all’agenzia Usa; e a cominciare dalla scorsa estate hanno iniziato a buttarli online. Dunque, succede che Shadow Brokers si impossessa dell’attacco informatico della Nsa. Lo rilascia online. Qualcuno lo prende, lo usa per potenziare un ransomware mediocre, e inizia una campagna globale e massiva di infezioni. Che propagandosi velocemente dentro le organizzazioni colpite le mette in ginocchio.

 

Perché è così potente

L’attacco rubato alla Nsa che sfrutta la falla Microsoft permette al virus di diffondersi facilmente attraverso la rete interna di una organizzazione. È per questo motivo che anche grosse aziende, che fino a ieri riuscivano a gestire senza problemi delle occasionali infezioni di ransomware, in questo caso sono state travolte. Microsoft a marzo avevo chiuso la falla in questione ma il problema è che molti utenti, enti, imprese non hanno fatto l’aggiornamento. Per inciso: la vulnerabilità riguarda i Microsoft Windows Smb Server, e se non avete ancora aggiornato, fatelo adesso.

 

Caccia al «colpevole»

Le campagne di ransomware sono generalmente gestite da diversi individui o gruppi a scopo di lucro. Una parte di questa attività cybercriminale è tradizionalmente concentrata nell’Europa dell’Est, ma ovviamente ci sono autori di ransomware in molti Paesi, Italia compresa. È quindi probabile – in assenza di elementi contrari – che anche questa esplosione abbia una natura criminale, anche se non è chiaro dove origini. Va detto che i Paesi colpiti ieri sera erano 74, secondo ricercatori dell’azienda Kaspersky. Tra quelli più bersagliati ci sono Russia, Ucraina, Taiwan. L’Italia era al tredicesimo posto, secondo dati dell’azienda Eset.

 

Bersagli colpiti via email

Questo genere di attacchi è spesso fatto a pioggia e a 360 gradi. I cybercriminali inviano il virus a liste di email di cui sono entrati in possesso, localizzando solo i messaggi nella lingua del Paese. Ma è possibile che recentemente ci sia più interesse verso target specifici – aziende e ospedali – perché ritenuti più propensi a pagare. Per altro versare il riscatto non garantisce mai il recupero dei dati. E alimenta un’economia criminale.

LA STAMPA

Rating 3.00 out of 5

No Comments so far.

Leave a Reply

Marquee Powered By Know How Media.