Wannacry: i tuoi dati sono in ostaggio?

Venerdì 12 Maggio più di 200mila computer in giro per il mondo sono rimasti bloccati dall’attacco di Wannacry, virus che prende letteralmente in ostaggio i dati presenti sull’hard disk del pc infettato. In cambio di qualche centinaio di bitcoin i dati vengono (forse) sbloccati ma nel frattempo aziende e servizi pubblici vengono paralizzati.

I danni maggiori di Wannacry, o WanaCryptor, sembrano sono finora stati subiti dalla Gran Bretagna dove 45 ospedali si son visti bloccare i terminali con cui venivano gestiti appuntamenti, operazioni e pure le ambulanze, con ovvie conseguenze sui pazienti. In Russia invece sono stati i ministeri ad aver subito l’attacco. Il ministero dell’Interno, quello della Salute ed il ministero delle Emergenze si son visti comparire la schermata che annuncia all’utente la presa in ostaggio dei propri file.

wannacry schermata virus

Molto preoccupante è stato l’attacco subito da servizi nevralgici come quelli forniti dalle compagnie telefoniche come la russa Megafon, la spagnola Telefonica e la portoghese Telecom. In Spagna, sono stati colpiti senza grandi danni anche servizi nevralgici come la distribuzione di energia e di gas, mentre in Germania si è ritrovata sotto attacco l’azienda che gestisce le ferrovie tedesche.

Questi attacchi, pur avendo portato qualche disagio all’utenza di questi servizi e a migliaia di privati cittadini, non sono stati drammatici ma mostrano la fragilità dei sistemi informatici di servizi che, se bloccati, potrebbero mettere in ginocchio un paese.

L’impressione che questo attacco suscita è quella di un test. Il gruppo di hacker Shadow Brokers, quello che sembra essere dietro l’attacco, ha tastato il polso di alcune delle infrastrutture nevralgiche dei paesi coinvolti dell’attacco. Cosa succederebbe se un black out e un down delle telecomunicazioni dovessero colpire in contemporanea una nazione?

Come funziona Wannacry?

Cliccando sul link sbagliato, che sia in una mail o in un sito, si scarica e si installa un programma che sfrutta delle falle presenti nei sistemi Windows non aggiornati. I pc che usano sistemi obsoleti come Windows XP vengono così presi in ostaggio e rimangono bloccati finché l’utente non paga il riscatto in bitcoin. Il problema si ingigantisce poi quando il pc infetto si trova all’interno di una rete come quelle aziendali, diffondendo così il virus agli altri terminali.

C’è però anche dell’ironia dietro tutta questa vicenda. Sembra infatti che l’NSA, agenzia USA che si occupa di sicurezza, fosse a conoscenza delle falle sfruttate dal virus e che addirittura l’abbia utilizzata per scopi di spionaggio e sicurezza nazionale. Il problema è poi nato quando il gruppo di hacker Shadow Brokers ha ottenuto queste informazioni, sembra rubandole dall’NSA lo scorso aprile.

Corsa ai ripari

Un freno temporaneo alla diffusione del virus è però arrivato grazie a Darien Huss, un informatico californiano che ha trovato, all’intero del virus, un blocco al meccanismo automatico di propagazione. Il virus, una volta preso il controllo di un pc, si collega in fatti al web e cerca uno specifico indirizzo. Se lo trova si blocca, mentre se non lo trova inizia a cercare nuovi pc da infettare. Darien Huss ha quindi registrato il dominio ed attivato quel preciso indirizzo web, rallentando la propagazione dell’infezione.

Da settimane, ovvero da quando l’NSA si è accorta del furto di informazioni da parte degli hacker di Shadow Brokers, è disponibile inoltre un aggiornamento per i sistemi Windows, anche quelli più obsoleti come XP. E proprio questi aggiornamenti sono la chiave di volta dell’intera vicenda.

E’ spesso difficile aggiornare tutti i pc di un’azienda o di un organizzazione come un ospedale ed una rete ferroviaria. Aggiornare i sistemi è costoso e non sempre è possibile fermare temporaneamente le attività aziendali. Spesso poi i programmi come i gestionali hanno problemi di compatibilità con le nuove versioni dei sistemi operativi. Ecco spiegata la diffusione della falla di sicurezza.

Il CERT-PA, il Computer Emergency Response Team Pubblica Amministrazione dell’Agenzia per l’Italia Digitale e la Polizia postale, hanno stilato una serie di azioni da seguire per prevenire l’infezione del virus ed anche per “ripulire” ed isolare i pc infetti. I consigli non sono utili solo per i tecnici informatici, ma anche per tutti coloro che hanno un pc connesso ad internet.

I prossimi attacchi

La soluzione trovata dall’informatico californiano però non potrà valere ancora per molto. Si aspetta infatti la diffusione di una nuova versione del virus. Ma la cosa che preoccupa ancora di più è la seconda ondata di pc infetti che potrebbe essere arrivata oggi. L’attacco, essendo partito Venerdì, potrebbe essere ancora in uno stato iniziale e quindi continuare oggi quando, tornati dal weekend, tanti utenti cliccheranno il link sbagliato della mail sbagliata.

Solidarietà, quindi, a tutti coloro che questa mattina si sono ritrovati l’hard disk sotto ricatto. Ma soprattutto, solidarietà a tutti quei tecnici informatici, responsabili IT e nipoti smanettoni, che hanno dovuto riparare un danno causato da chi non ha ancora capito che lasciare un pc non aggiornato è come andare in vacanza con la serratura di casa difettosa.

Leave a reply

*