Quel virus diventato letale grazie ai codici della NSA

“Pagate o addio ai files”! I “virus del riscatto”, noti come “ransomware”, non sono un fenomeno nuovo e, nella loro reincarnazione più aggressiva,  imperversano anche in Italia da almeno due anni. La dinamica è la seguente: arriva una mail che sembra provenire da un ente noto, ma è inviata da criminali; l’utente apre l’allegato che infetta il suo pc; i files vengono cifrati e diventano irrecuperabili, a meno di non averne una copia da qualche parte; gli attaccanti lasciano le istruzioni per pagare un riscatto con la moneta elettronica “Bitcoin” e ottenere la chiave per decifrarli. Questo era l’andamento generale fino a ieri che è stata però una giornata senza precedenti per l’aggressività del software malevolo impiegato e per la sua capacità di diffondersi come un incendio. Infatti esistono tante varietà di ransowmare, tante famiglie diverse, più o meno efficaci. Quella responsabile dell’esplosione si chiama «WannaCry»: esisteva da marzo e a dire il vero non sembrava fare molti danni. Ciò che l’ha “armata”, trasformandola nel “panzer” dei ransomware, è stato un codice di attacco, battezzato “Eternalblue”, che era originariamente usato dall’Agenzia Nazionale per la Sicurezza Usa, la NSA.
Come è finito online? Tale strumento – in gergo “exploit” – sfruttava la vulnerabilità di un software di Microsoft. Sconosciuta ai più, almeno fino a quando, alcune settimane fa, non è stata messa online a disposizione di chiunque, da un misterioso gruppo di hacker di nome Shadow Brokers. Costoro hanno in qualche modo sottratto una serie di strumenti e di “armi digitali”all’agenzia americana e, a cominciare dalla scorsa estate, hanno iniziato a lanciarli online. Shadow Brokers si impossessa dell’attacco informatico della NSA; lo rilascia online; qualcuno lo prende, lo usa per potenziare un ransomware mediocre; inizia così una campagna globale e massiva di infezioni che, propagandosi velocemente dentro le organizzazioni colpite, le mette in ginocchio. È per questo motivo che anche grosse aziende, che fino a ieri riuscivano a gestire senza problemi delle occasionali infezioni di ransomware, in questo caso sono state travolte. Microsoft, a marzo, aveva chiuso la falla in questione ma il problema è stato che molti utenti, enti e imprese non hanno fatto l’aggiornamento. Per inciso: la vulnerabilità riguarda i Microsoft Windows Smb Server. Ora caccia al “colpevole”. Le campagne di ransomware sono generalmente gestite da diversi individui o gruppi a scopo di lucro. Una parte di questa attività cybercriminale è tradizionalmente concentrata nell’Europa dell’Est, ma ovviamente ci sono autori di ransomware in molti Paesi, Italia compresa. È quindi probabile – in assenza di elementi contrari – che anche questa esplosione abbia una natura criminale, anche se non è chiaro da dove origini. Va detto che i Paesi colpiti ieri sono stati 74, secondo i ricercatori dell’azienda Kaspersky. Tra quelli più bersagliati, Russia, Ucraina e Taiwan. L’Italia occupa il tredicesimo posto, secondo i dati dell’Azienda Eset sui bersagli colpiti via email. Questo genere di attacchi è spesso fatto a pioggia e a 360 gradi. I “cyber criminali” inviano il virus a liste di e-mail di cui sono entrati in possesso, localizzando solo i messaggi nella lingua del Paese. Ma è possibile che recentemente ci sia più interesse verso target specifici – aziende e ospedali – perché ritenuti più propensi a pagare. Per altro versare il riscatto non garantisce mai il recupero dei dati. E alimenta l’economia criminale!