MONDO

#WannaCry

Attacco hacker in 99 Paesi. Europol: "Offensiva senza precedenti"

Pirati informatici all'attacco: in molti paesi è apparso un messaggio con cui si comunicava che il pc era stato preso 'in ostaggio' con un virus detto 'ransomware', e si chiedeva un 'riscatto' in bitcoin, per l'equivalente di 300 dollari

Condividi

Un'offensiva hacker "di dimensioni senza precedenti" e sulla quale "sarà necessaria una complessa investigazione internazionale per identificare i responsabili". Così l'Europol sull'attacco cybernetico, con richiesta di 'riscatto' in Bitcoin, lanciato ieri su scala mondiale e che ha colpito 99 Paesi mandando in tilt migliaia di computer.

È la più grande epidemia del virus ransomware nella storia. Registrati nel mondo già 75mila attacchi di malware WanaCrypt0r 2.0 (anche chiamato WannaCry, ndr), virus trasmesso via-email che blocca i file di un computer tenendoli in ostaggio fino a quando non si paga un riscatto. Secondo l'esperto di cybersicurity Jakub Kroustek l'offensiva è stata diretta "soprattutto a Russia, Ucraina e Taiwan".

Nel caos molte strutture pubbliche e private. La Renault ha dovuto fermare la produzione nei suoi stabilimenti in Francia per impedire il diffondersi del virus (tra i siti principali dove le catene di montaggio sono ferme, quello di Sandouville in Normandia, secondo fonti sindacali).

In Gran Bretagna, migliaia di operazioni sono state annullate, servizi sospesi, ambulanze dirottate verso indirizzi sbagliati, dati personali dei pazienti non consultabili dai medici. Il sistema sanitario britannico è stato la vittima più vistosa dell'attacco hacker globale ed è stato colpito a largo raggio: almeno 45 strutture locali, tra cui ospedali, servizi di ambulanze, centri di salute mentali.  A quanto riferisce il Ministero dell'Interno ora tutte le infrastrutture hanno ricominciato a funzionare regolarmente.

In Germania l'attacco cybernetico ha colpito la compagnia ferroviaria Deutsche Bahn (DB). Problemi sono stati riscontrati nei pannelli informativi per i passeggeri, senza però che si siano verificate difficoltà per il traffico. Secondo il ministero dell'Interno tedesco l'attacco non ha avuto invece conseguenze sulla rete informatica governativa, "dimostrando l'efficienza del sistema di protezione".

E ancora: computer bloccati per Telefonica in Spagna e per Portugal Telecom. In Usa FedEx ha ammesso di avere problemi mentre in Russia un migliaio di computer del ministero dell'Interno sono stati infettati. Sempre in Russia, il più grande istituto bancario, la Sberbank, ha riconosciuto che c'è stato un tentativo di penetrazione nei suoi sistemi ma che le misure di difesa lo hanno impedito e che non c'è stata alcuna violazione dei dati.

Per l'Italia, il governatore di Bankitalia Ignazio Visco ha detto che si stanno "studiando le conseguenze di questo attacco e per ora sembra che per il sistema finanziario non ci siano problemi". "L'attacco di ieri ha avuto luogo
attraverso un ben identificato sistema operativo, ma aveva anche come risultato l'utilizzo di Bitcoin", ha detto Visco, nel corso della conferenza stampa al termine del G7 Finanze. C'è "un'attenzione data dalle Banche centrali" al tema del
Bitcoin. Al vertice, ha aggiunto, "abbiamo discusso in dettaglio del Bitcoin", ricordando che su questo c'e' "un gruppo di studio permanente sulla sicurezza, la cyber task force".

In Italia è stata infettata l'Università Bicocca di Milano, dove però l'attacco sarebbe stato "circoscritto".

Non è chiara la situazione in Asia, dove sicuramente sono stati colpiti ospedali, scuole e università, ma non si sa in che misura. Secondo l'agenzia Xinhua, sono stati colpite scuole secondarie e università. Il consigliere per la cybersecurity del governo giapponese ha spiegato che sono state colpite alcune istituzioni, ma non ha chiarito quali. L'agenzia sudcoreana Yonhap ha parlato di un ospedale universitario a Seul. Colpiti anche due ospedali a Giacarta.    

L'azienda antivirus Avast, tra le 10 più importanti al mondo, era venuta a conoscenza della prima versione del WanaCrypt0r a febbraio e ora segnala che questo software dannoso è disponibile in 28 lingue diverse, dal bulgaro al vietnamita. Il 'bug' impiegato dai pirati sarebbe contenuto nell'Smb Server di Windows, su cui la stessa Windows era intervenuta con un aggiornamento di sicurezza a marzo; ma i computer che non avevano installato l'aggiornamento di sicurezza sono risultati vulnerabili.

Un esperto di 22 anni blocca la diffusione del virus
Alla fine è stato un esperto di cybersecurity di appena 22 anni che, quasi per caso, ha bloccato la diffusione su tutto il pianeta di WannaCry: ha comprato per pochi dollari il nome di dominio nascosto nel programma e ne ha impedito la diffusione, per esempio negli Usa. L'analista ha usato e attivato "un interruttore-killer", che era scritto nel malware stesso, una sorta di pulsante di emergenza, con ogni probabilità inserito da chi ha creato il virus per disattivarlo quando avesse voluto. Si è accorto infatti che quando procedeva ad attaccare un nuovo computer, WannaCry provava a contattare la pagina web: se falliva, WannaCry andava avanti con l'attacco, ma se aveva successo si fermava. E ne ha dedotto che se WannaCry non poteva avere accesso a quel dominio avrebbe cominciato a funzionare in maniera erratica nella rete, cercando nuovi siti da attaccare, fino a disattivarsi. Come infatti è successo. 

'Malwaretech': questo il nickname del ragazzo inglese di 22 anni che è stato capace di rallentare il cyber attacco. Il giovane lavora per Kryptos Logic, una società di intelligence delle minacce cybernetiche, con base a Los Angeles. "Stavo pranzando con un amico, sono tornato alle 15 e ho visto un flusso di notizie sulla sanità britannica (NHS) e varie organizzazioni colpite", ha detto al Guardian. "Ho guardato un po' la cosa e ho trovato che c'era un malware dietro, che connetteva ad un dominio specifico, non registrato. Così l'ho comprato senza sapere cosa facesse in quel momento". Il dominio è costato 10,69 dollari, e quando Malwaretech lo ha comprato stava registrando migliaia di connessioni al secondo.

Il ragazzo ha spiegato di averlo acquistato perché la sua società traccia i 'botnet', cioè le reti fantasma costruite dai
malware sfruttando la potenza di calcolo dei pc infettati e collegati tra di loro. registrando quei domini, si può vedere come si diffondono le reti. "Lo scopo era solo monitorare la diffusione e vedere se potevamo far qualcosa dopo. Ma in realtà lo abbiamo fermato soltanto registrando quel dominio", ha aggiunto.

Malwaretech dice di voler restare anonimo: "Lavoriamo contro i cattivi e non sono contenti di questo". Inoltre, assieme ai colleghi, sta inviando gli ip infetti alle autorità, in modo che possano comunicarlo alle vittime, molte ancora ignare. Ma avverte: "Non è finita. Gli hacker realizzeranno come lo abbiamo fermato, cambieranno il codice e cominceranno di nuovo". Quindi, il consiglio: "Attiva gli aggiornamenti di Windows, aggiorna e riavvia".

Microsoft ridiffonde l'aggiornamento di sicurezza dopo il cyber-attacco
Il colosso informatico Usa Microsoft, investita direttamente dal grande attacco cibernetico, ha ridiffuso l'aggiornamento di sicurezza al suo vecchio sistema operativo Windows Xp, ancora usato da milioni di persone nel mondo. Si tratta dello stesso aggiornamento pubblicato a marzo, che, secondo la società di Redmond, chi ha attivato l'autoaggiornamento non deve fare nulla, mentre per gli altri si deve andare sul loro sito e scaricare quella che in gergo viene definita 'patch': QUI

Condividi