17 maggio 2017

WannaCry: prove di pandemia virtuale globale?

di Mirko Annunziata

Da diversi giorni, in tutto il mondo, si registrano centinaia di migliaia di casi di computer colpiti da un malware il cui nome è WannaCry. “Vuoi piangere”, questa è la sua traduzione, fa decisamente fede al nome che porta. Il virus, infatti, blocca ogni funzione del computer facendo apparire una schermata con un countdown. Il messaggio è tanto semplice quanto terribile: se non si paga un “riscatto” di alcune centinaia di euro in bitcoin, i dati all’interno del dispositivo verranno cancellati. Un’estorsione che, al momento, non sta colpendo soltanto utenti privati ma anche diverse grandi aziende e associazioni governative, a cominciare dal sistema sanitario nazionale del Regno Unito (NSH). Al momento il ransomware sembra abbattersi con violenza soprattutto in Cina.

WannaCry appartiene appunto alla categoria dei “ransomware”, in cui il termine ransom, ossia riscatto, si richiama alla perfezione il loro funzionamento. Questi virus riescono a penetrare nel sistema operativo del computer infetto, solitamente grazie a delle falle presenti nel sistema operativo, bloccando del tutto o in parte le funzionalità. Da qui in poi inizia, da parte degli hacker, l’opera di “convincimento” allo scopo di far pagare al malcapitato una determinata somma al fine di riprendere il controllo del proprio computer.

Naturalmente non c’è alcuna garanzia che una volta pagato l’importo richiesto il dispositivo venga effettivamente “liberato” o che l’infezione non resti in ogni caso in forma latente, sfruttando il computer, soprattutto la sua connessione alla rete, come testa di ponte per infettarne altri. Un caso del genere viene definito in ambito informatico come “zombie”: computer che pur non presentando segni evidenti d’infezione contribuiscono a diffondere il malware.

I ransomware sono una tipologia di virus molto antica, presente sin dagli albori di Internet, ma si sono diffusi esponenzialmente negli ultimi anni grazie all’avvento di circuiti monetari online che rendono molto difficile tracciare il flusso di denaro dalla vittima all’hacker. Sebbene qualunque esperto di sicurezza informatica consigli di non pagare la cifra richiesta, dal momento che una volta pagato il “riscatto” solitamente l’infezione rimane e l’hacker richiede comunque una nuova somma nell’arco di qualche tempo, CryptoLocker, il ransomware più famoso prima dell’arrivo di WannaCry, è riuscito a raccogliere milioni di dollari prima di essere debellato.

WannaCry rappresenta, tuttavia, un vero e proprio salto di qualità in questa tipologia di attacchi, per virulenza e coordinamento nel colpire in tutto il mondo e in diversi settori strategici a livello globale. Al punto che si può ragionevolmente ipotizzare che l’intento di chi ha organizzato l’attacco, considerata anche la natura strategica di alcuni dei soggetti colpiti, non sia soltanto quello di raccogliere quanto più denaro possibile. Al momento non si ha ancora un’idea precisa del Paese da cui è stato lanciato quello che molti commentatori già definiscono come il più grande attacco hacker della storia. Sembra che questa volta non ci sia la regia del Cremlino, in quanto la Russia stessa, compresi i suoi ministeri e uffici governativi, è stata colpita pesantemente da WannaCry. Lo stesso presidente della Federazione Russa, Vladimir Putin, ha denunciato l’attacco puntando il dito contro gli Stati Uniti.

Le accuse della Russia derivano dal fatto che WannaCry è figlio di un clamoroso furto d’informazioni compiuto un anno fa negli archivi informatici dell’Agenzia per la Sicurezza Nazionale americana (NSA). Al suo interno gli hacker avrebbero trovato indicazioni per sfruttare dei bug interni ai sistemi Microsoft per potervi penetrare e prenderne il controllo. La NSA, tuttavia, non ha dato notizia dei dati rubati rendendo aziende e strutture governative vulnerabili contro il malware. E se per i russi questo implica addirittura una regia occulta da parte di Washington ai danni di Paesi storicamente rivali, quali Russia e Cina, da Microsoft il comportamento della NSA è stato definito come “irresponsabile”. Il CEO della compagnia di Redmond, Brad Smith, ha lanciato un monito rivolto a tutti i governi del mondo affinché non mettano a repentaglio la sicurezza informatica globale per ottenere vantaggi politici mantenendo segrete vulnerabilità nei sistemi e potenziali minacce e paragonando il furto dei codici per WannaCry dalla NSA a quello di missili.

Al momento, l’indiziato più credibile sembra essere la Corea del Nord. Da anni team di hacker nordcoreani compiono operazioni per conto del governo di Pyŏngyang, tra cui anche ransomware a danno di aziende e istituzioni di Paesi nemici, a cominciare dagli Stati Uniti. Secondo Kaspersky, azienda di cyber security russa tra le più note a livello mondiale, parte del codice di WannaCry sarebbe riconducibile a un malware utilizzato nel 2014 dai nordcoreani ai danni della Sony, colpita per aver prodotto The Interview, un film che faceva satira sul regime nordcoreano.

La stessa Kaspersky, assieme a un altro colosso della sicurezza informatica, Symantec, suggerisce cautela prima di lanciare accuse, considerando che l’attacco di WannaCry non solo è ancora in corso, ma sta riscontrando una vera e propria evoluzione, con nuove versioni in grado di bypassare gli aggiornamenti messi a punto da Microsoft per debellare il ransomware. D’altra parte, non si può non notare come il concentrarsi di attacchi contro la Cina coincida con l’attuale stato di tensione a livello diplomatico tra il governo cinese e quello nordcoreano.

Una situazione, quella odierna, molto pericolosa, che mostra ancora una volta, anche nei Paesi più avanzati, l’assenza di una strategia nazionale per la sicurezza informatica. Se a tutti sembra naturale che vengano messe in sicurezza scorte di medicinali in caso di attacchi e disastri naturali, un tale livello di precauzione non viene messo in conto per quanto riguarda i sistemi informatici, sebbene essi siano altrettanto vitali, come ha avuto modo di scoprire il Regno Unito ritrovandosi, nell’arco di pochi attimi, con l’intero NSH precipitato nel caos. WannaCry potrebbe essere il primo di futuri attacchi informatici su scala planetaria, in grado di causare danni dalla gravità sempre crescente.

 

© Istituto della Enciclopedia Italiana - Riproduzione riservata