Il ransomware è stato messo a punto sfruttando un software nato nei nei laboratori della National security agency Usa e finto nelle mani degli hacker. Un malware che nel giro di poche ore ha preso in ostaggio i Pc di istituzioni, ospedali, servizi pubblici in 150 paesi nel mondo, “criptando” gli hard disk dei computer e chiedendo alle vittime – per sbloccarli – un riscatto in Bitcoin equivalente a circa 300 dollari per ogni macchina infettata. Tra i Paesi colpiti anche l’Italia, dove tra le vittime c’è anche l’Università Bicocca di Milano, anche se la Polizia Postale che monitora la situazione sottolinea che non si sono finora registrate criticità. Porprio la Polizia postale in un’intervista a CorCom aveva spiegato nei mesi scorsi quali comportamenti tenere per non cadere nella trappola dei Ransomware.
L’attacco ha iniziato a propagarsi nel pomeriggio di venerdì 12 maggio, anche se gli effetti “globali” sono stati più chiari in serata. Secondo l’esperto di cybersecurity Jakub Krouster, a colpire nello specifico è stato un malware chiamato “WannaCry”, che avrebbe preso di mira in modo particolare Russia, Ucraina e Taiwan sarebbero i Paesi più colpiti, ma il virus avrebbe colpito anche negli Usa, in Cina, Spagna, Italia, Vietnam e Regno Unito. L’attacco segue diversi allarmi che erano stati lanciati negli ultimi mesi dagli addetti ai lavori, che avevano specificato come il fenomeno “cryptolocker” sia in prepotente ascesa in tutto il mondo.
Proprio l’Uk è stato particolarmente preso di mira dal malware, che è riuscito a infiltrarsi nel sistema sanitario nazionale, infettando i sistemi informatici di 25 tra ospedali e uffici – ha riportato la Bbc – bloccando il sistema di prenotazione delle visite e la gestione degli appuntamenti dei medici, e mettendo in difficoltà la gestione delle ambulanze.
Secondo il ministero del turismo e dell’energia di Londa l’attacco ha colpito anche nelle aziende i pc che usano il sistema operativo Windows, mentre la premier Theresa May ha precisato che l’attacco alla Gran Bretagna fa parte di un offensiva internazionale.
Quanto alla aSpagna, sono state prese di mira diverse società, tra cui la compagnia di telecomunicazioni Telefonica, che ha affermato di essere incorsa in un “incidente di cyber-security”, ma che i clienti non hanno nulla da tempere. Anche in Portogallo è stata colpita la società delle telecomunicazioni.
Secondo quanto accertato dal New York Times a essere utilizzato per l’attacco è stato un software nato nei laboratori dell’Nsa per sfruttare le vulnerabilità informatiche dei Personal computer. Il software Nsa sarebbe stato fatto circolare online via e-mail da un gruppo che si fa chiamare “Shadow Brothers”, che dallo scorso anno è riuscito a mettere le mani su alcuni strumenti informatici della Nsa.
A fermare la diffusione del malware è stato un esperto di cybersecurity di appena 22 anni che, quasi per caso, ha bloccato la diffusione su tutto il pianeta di WannaCry: ha comprato per pochi dollari il nome di dominio nascosto nel programma e ne ha impedito la diffusione, per esempio negli Usa. In sostanza l’analista ha usato e attivato “un interuttore-killer”, che era scritto nel malware stesso, una sorta di pulsante di emergenza, con ogni probabilità voluto da chi ha creato il virus per disattivarlo quando avesse voluto. Ma l’allarme rimane, perché i problemi dovuto al malware potrebbero tornare con l’inizio della nuova settimana e la riapertura di uffici e aziende. Un allarme che non viene escuso dalla Polizia postale, che sottolinea come per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, rimande alle idicazioni analitiche pubblicate sul proprio sito Internet.
Intanto nel quartier generale del Cnaipic si lavora soprattutto sulla prevenzione: l’obiettivo è quello di raccogliere quante più informazioni possibile per aiutare le infrastrutture a difendersi. Per difendersi, spiega la Polizia postale, “si consiglia l’installazione della patch MS 17-010, rilasciata da Microsoft il 17 marzo, e quella del 9 maggio”.
“Dai primi accertamenti effettuati e dalle risultanze raccolte, sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche afferenti le infrastrutture informatiche del Paese – afferma in una nota di domenica sera la Polizia Postale e delle Comunicazioni e in particolar modo il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche – Cnaipic. Il Cnaipic sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle infrastrutture informatiche del Paese. Dalla serata di venerdì 12 maggio la Sala operativa del Cnaipic è in costante contatto con i referenti tecnici delle infrastrutture critiche informatizzate e, tramite il Nucleo Sicurezza cibernetica, con i componenti dell’Architettura di difesa Cyber nazionale.
Del tema si è occupato sabato anche il G7 finanziario, che ha lanciato un impegno comune contro il ‘cyber crime’. “I reati informatici rappresentano una crescente minaccia per le nostre economie e sono necessarie risposte politiche appropriate”, si legge nel comunicato che ha chiuso il summit di due giorni al castello normanno svevo di Bari. I ministri finanziari hanno conferito un “mandato forte” al G7 cyber expert group, secondo le parole di Pier Carlo Padoan, ministro dell’Economia e padrone di casa al vertice. I tecnici dovranno definire entro ottobre 2017 criteri non vincolanti per una efficace valutazione dei sistemi di sicurezza informatica. “Nessun punto del cyberspazio può essere assolutamente sicuro finché persistono minacce informatiche; i nostri sforzi potranno raggiungere il massimo risultato solo se saranno accompagnati da interventi che riducano il livello di insicurezza nell’insieme del cyberspazio”, recita il comunicato. Banche e società finanziarie devono quindi migliorare i cosiddetti “penetration test”, con i quali vengono testati i sistemi di cybersecurity. Inoltre, “data la rapida evoluzione dei rischi informatici”, il G7 è dell’avviso che sia necessario incoraggiare il coordinamento e lo scambio di informazioni a livello globale.
“Abbiamo visto le vulnerabilità immagazzinate dalla Cia apparire sui Wikileaks e ora questa vulnerabilità rubata alla Nsa (l’Agenzia Nazionale per la Sicurezza americana) ha interessato clienti in tutto il mondo – afferma Brad Smith, il presidente e principale consulente legale di Microsoft – Uno scenario equivalente con armi convenzionali sarebbe il furto all’esercito americano dei suoi missili Tomahawk. I governi di tutto il mondo dovrebbero considerare questo attacco come un campanello d’allarme”.
“La maggiore fetta dei ricavi del cybercrime deriva da tanti piccoli attacchi in cui persone normali pagano somme nell’ordine di 300-600 euro per riavere indietro i propri dati”, afferma Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e presidente del Clusit, l’associazione italiana per la sicurezza informatica.
Ultimo aggiornamento lunedì 15 maggio, ore 11:00
