Virus WannaCry: attacco hacker di portata mondiale

by Rubens on

In questi giorni parecchie testate giornalistiche, italiane e straniere, hanno pubblicato la notizia di un grosso attacco hacker di portata mondiale, che avrebbe colpito più di 150 paesi, e 200.000 vittime. Ospedali, aziende e privati hanno subito le conseguenze del ransomware WannaCry, virus diffuso tramite email, che cripta i dati all’interno del computer richiedendo in cambio della loro decriptazione una somma di denaro in BitCoin.

Le informazioni sono varie e talvolta contrastanti. Sappiamo che tra i paesi più colpiti ci sono il Regno Unito e la Spagna, e alcune segnalazioni sono arrivate anche dall’Italia, e tra le aziende e gli istituti infettati dal virus ci sono FedEx, Renault, il Ministero dell’Interno Russo e l’Università degli Studi di Milano-Bicocca.

Ransomware

Un ransomware (da ransom, riscatto in inglese, e –ware, suffisso di software) è un virus che provoca dei danni non irreparabili al computer, solitamente il criptaggio non voluto di tutti i dati del computer, risolvibile attraverso il pagamento di un riscatto a beneficio di chi ha commesso l’attacco. Spesso il pagamento avviene attraverso l’utilizzo di criptovalute, come il Bitcoin, e senza nessuna garanzia che l’attaccante elimini poi le conseguenze del virus sul proprio dispositivo.

Il primo ransomware conosciuto è il virus “AIDS”, scritto nel 1989 dal biologo Joseph Popp.

I virus informatici

Dal punto di vista informatico, i virus non sono altro che programmi tali e quali a quelli che utilizziamo tutti i giorni, con l’unica differenza che il loro intento è malevolo, il loro comportamento è ingestibile e la loro esecuzione è perlopiù non voluta. Essendo a tutti gli effetti dei programmi, molti virus devono essere fisicamente presentei nel computer per funzionare, e in qualche modo deve essere innescato il loro avvio.

Nel caso di WannaCry, come di tanti altri virus, il codice viene scaricato tramite finte email con un allegato, che contiene il virus stesso.

Phishing

Il phishing è una tecnica che prevede l’invio di email contraffatte, che presentano il logo e la grafica di un sito, una banca o altro istituto, e la cui intenzione è ottenere con l’inganno informazioni sensibili dell’utente che, inconsapevole, li fornisce in modo volontario.

Talvolta queste email contengono in allegato un software malevolo.

Falla di sicurezza

Motivo principale dell’infezione, quindi, è stata l’incoscienza degli utenti che hanno scaricato e aperto l’allegato di un’email proviente da una fonte sconosciuta o, nel caso di phishing, l’incapacità di riconoscere la non autenticità della mail stessa.

In questo specifico caso, in realtà, c’è dell’altro. Mentre le autorità e gli esperti stanno ancora indagando sulle modalità di origine e diffusione del virus, è certo che WannaCry ha sfruttato un exploit – un software che agisce attraverso una vulnerabilità del sistema – utilizzata dalla NSA (National Security Agency americana) per poter controllare da remoto i computer con sistema operativo Microsoft Windows.

L’exploit in questione è chiamato EternalBlue e, apparentemente, è in grado di funzionare in tutte le versioni di Windows da Windows XP a Windows 8. Le opinioni sul web sono contrastanti, e c’è chi dice che la vulnerabilità è presente anche in Windows 8.1 e Windows 10.

EternalBlue è stato reso pubblico dal gruppo hacker Shadow Brokers su internet, dopo essere stato sottratto all’NSA.

A quanto pare l’utilizzo di EternalBlue avrebbe permesso il propagarsi del virus attraverso le reti aziendali, da computer vulnerabile ad altro computer vulnerabile, anche senza interazione dell’utente con l’email, o con il computer stesso.

In ogni caso, un mese prima del leak di EternalBlue su internet, Microsoft ha pubblicato un aggiornamento di sicurezza che correggeva la falla. Dunque, parte della colpa della diffusione del virus è stata la negligenza degli utenti che non hanno aggiornato il proprio computer, che da questo punto di vista è un po’ come non vaccinare i propri figli.

La gravità della situazione ha spinto Microsoft a pubblicare addirittura una patch di sicurezza per Windows XP, il cui supporto è terminato oltre tre anni fa, ma il cui utilizzo è purtroppo ancora molto diffuso.

L’interruttore di WannaCry

Marcus Hutchins, un ricercatore di sicurezza informatica di 22 anni conosciuto come @MalwareTechBlog su Twitter, ha notato che durante l’attacco il virus cercava di stabilire una connessione con un sito web, che aveva come indirizzo un dominio non ancora registrato. Ha quindi deciso di registrare il dominio, e si è accorto che il virus ha rallentato significativamente la sua esecuzione.

In pratica, quando il malware procedeva ad attaccare un computer, cercava di connettersi al dominio. Se l’avesse trovato si sarebbe fermato, altrimenti avrebbe continuato ad attaccare. Una misura di contenimento adottata da chi ha scritto il malware, per poterlo disattivare a comando.

Il ricercatore quindi, senza sapere inizialmente che la registrazione del dominio avrebbe reso innocuo questo particolare “ceppo” del virus, si è beccato l’appellativo (con conseguente Hashtag) di #AccidentalHero.

In realtà Marcus Hutchins è un professionista, e lui e altri suoi collaboratori hanno fatto un ottimo lavoro sul caso.

C’è ancora il rischio di essere infettati?

Sì. Sebbene il virus sia stato rallentato dalla registrazione del dominio, versioni differenti di WannaCry, senza questo kill-switch, potrebbero comunque essere diffuse.

EDIT: pare che, proprio come previsto, siano già state diffuse diverse altre versioni di WannaCry, alcune con diversi kill-switch, arginabili aquistando diversi domini, altre senza alcun kill-switch.

(Fonte: https://www.engadget.com/2017/05/14/wannacry-ransomware-evolves/).

L’unico modo per essere sicuri di non essere vulnerabili, è quello di aggiornare il computer all’ultima versione disponibile.

Altri consigli sono quelli di non scaricare allegati da email provenienti da fonti sconosciute, e diffidare da email che sembrano autentiche ma chiedono di inserire dati personali.

Precisazioni sul termine hacker

Nonostante la parola hacker venga utilizzata con connotazione negativa, il suo significato non lo è affatto, e la parola viene utilizzata spesso dai media e dalla gente comune in modo errato.

La parola deriva dal termine hack, utilizzato in questo caso nel significato di “violare, attaccare, accedere illegalmente a un sistema informatico”.

Può sembrare un’azione criminale, ma in realtà le intenzioni di un hacker sono oneste: egli vìola un sistema informatico innanzitutto per dimostrare di esserne in grado, ma poi per evidenziarne le falle e permettere la loro correzione.

La filosofia di questa parola comprende la volontà di superare degli ostacoli che sembrerebbero insormontabili, sforzandosi di andare sempre oltre i propri limiti, ma senza provocare danni ad altre persone.

Il termine hacker viene spesso usato al posto del termine cracker, che indica invece quegli individui che attaccano sistemi informatici con intenzioni ostili, con il fine di provocare dei danni o rubare informazioni sensibili degli utenti.

Informatica

Written by: Rubens

Attualmente vivo, studio e lavoro a Bologna, dove frequento la facoltà di Ingegneria Informatica. Sono appassionato di tecnologia, videomaking e musica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *