WannaCry

WannaCry, chiamato anche WanaCrypt0r 2.0, è un virus informatico responsabile di un attacco informatico su larga scala avvenuto nel maggio 2017. Il virus, di tipologia ransomware, cripta i file presenti sul computer e chiede un riscatto di alcune centinaia di dollari per decrittarli.

Il 12 maggio 2017 il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell’interno russo, l’Università degli Studi di Milano-Bicocca. In 24 ore sono stati colpiti più di settantamila computer in almeno 74 paesi, rendendolo uno dei maggiori attacchi informatici mai avvenuti.

WannaCry sfrutta un exploit chiamato EternalBlue e sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.

Il malware viene diffuso attraverso finte email e, dopo che viene installato su un computer, comincia a infettare altri sistemi presenti sulla stessa rete. Quando infetta un computer, WannaCry cripta i file bloccandone l’accesso e aggiunge l’estensione .WCRY; impedisce inoltre il riavvio del sistema. A quel punto, in un file denominato @Please_Read_Me@ è presente una richiesta di riscatto, inizialmente di 300 dollari ma poi elevati a 600, che l’utente deve pagare in bitcoin per avere lo sblocco dei file.

EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)”. Tuttavia molti computer non sono mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò vulnerabili al virus.

Non è stato un attacco

Punto primo: non è stato un vero e proprio attacco. Bisogna infatti distinguere da quello che è un assalto all’arma bianca e quella che è invece una strategia fatta di piccole trappole disseminate in attesa dell’incauta vittima. Quando si parla di ransomware, come in questo caso, vale il secondo scenario: i malintenzionati non hanno organizzato alcun attacco, ma hanno invece disseminato a pioggia una serie di trappole in cui è caduto chi ha commesso almeno due gravi errori.

Per disseminare queste “trappole” si sfrutta un meccanismo noto da sempre: email contenenti un codice maligno in allegato, a cui si può fare accedere la vittima con vari stratagemmi. Il consiglio di fare molta attenzione alle email non attendibili non è mai sufficientemente metabolizzato e l’elemento umano è quindi il primo vero “bug”. Soltanto cadendo in questa trappola, e soltanto se il proprio sistema è predisposto ad essere attaccato (in conseguenza di un mancato aggiornamento), allora si diventa vittime di Wannacry e altri malware di simile natura.

La definizione di “attacco” è tollerabile nella misura in cui tutto è avvenuto in un dato momento, a seguito di una sorta di attivazione cronologicamente prevista. La comparsa del ransomware in un dato momento e su molti pc offre l’impressione di un attacco coordinato e centralizzato, ma in realtà la diffusione ed il meccanismo dimostrano come la realtà sia differente. Per questo motivo anche noi abbiamo usato la parola “attacco”, ma a distanza di poche ore vogliamo fare un piccolo mea culpa e spiegare meglio quanto accaduto e quali siano quindi le parole più opportune da utilizzare.

Non sono hacker

L’errore più grave è nel chiamare “hacker” chi hacker non è. Un malware che si autoinstalla, mette sotto sequestro dei file e quindi chiede un riscatto per liberarli, non può infatti essere frutto di una mera azione di ricerca: in modo del tutto evidente c’è la ricerca di un lucro, anche al costo di un danno altrui, il che si prefigura quindi come lo scenario di una azione “cracker”.

Un hacker in possesso di tali informazioni le rende note alle aziende interessate per consentire a queste ultime di risolvere il problema. Un cracker, al contrario, sfrutta le vulnerabilità a proprio vantaggio: una questione etica non di poco conto visto che le ricadute economiche e sociali possono essere pesantissime. Per questo motivo ha usato, usa e userà il termine “cracker” benché la maggior parte dei media e degli utenti non facciano caso a questa fondamentale distinzione dietro a cui si celano significati profondi e buona parte della storia dell’informatica degli ultimi decenni.

Nel caso in questione sussistono sfumature ancor più complesse poiché, secondo quanto emerso in queste ore, il codice dell’attacco sarebbe direttamente derivato da un codice sviluppato dalla NSA per monitorare eventuali sospettati di terrorismo internazionale. Un codice di questo tipo può dunque fungere da vera e propria spia all’interno dei pc, spesso e volentieri nella piena inconsapevolezza dell’utente. Come definire l’azione della NSA? “Hacker” o “Cracker”? Se partiamo dal presupposto per cui la discriminante sia nelle finalità, occorre affidarsi alle assicurazioni che offrono le istituzioni (che in passato hanno però dimostrato di non agire sempre con eccessiva linearità e trasparenza). Anche il modus operandi è però sintomatico, e tutto lascia pensare che non sia particolarmente saggio da parte delle istituzioni costruire sistemi di controllo poiché medesimi strumenti possono facilmente essere sfruttati con finalità ben differenti. Wannacry ne è un esempio lampante.

Nessuno è nel mirino

Un altro punto fondamentale è relativo alle vittime. Se è assodato come la diffusione del malware sia semi-casuale, moltiplicandosi attraverso una sorta di “passaparola” virale che molto ha in comune con una comune influenza, allora per definizione non è possibile stabilire che i cracker avessero qualcuno o qualcosa nel mirino. Fino a prova contraria, insomma, l’obiettivo finale era semplicemente il lucro, a prescindere da quale fosse la vittima disposta a pagare il riscatto. Impossibile dunque sostenere, come immaginato nelle prime ore e ripetuto superficialmente nelle ore successive da troppi media, che nel mirino vi fossero nazioni o enti specifici: sono decine le nazioni coinvolte, centinaia le organizzazioni e decine di migliaia i privati che in queste ore stanno facendo i conti con Wannacry.

Chi è dunque realmente nel mirino? I “deboli”: chi non ha strumenti aggiornati, chi non ha le conoscenze minime indispensabili, chi non ha consapevolezza dei rischi che corre, chi non sa cosa sia un backup. Ma non certo persone, enti o nazioni specifiche. Non in questo caso, quantomeno.

Va ricordato inoltre come i ransomware siano una tipologia di attacco sempre più diffusa, che consente di monetizzare in modo molto più rapido gli attacchi rispetto al passato. Un nome già estremamente noto in Italia è stato il famigerato CryptoLocker con il quale hanno fatto in molti i conti negli anni passati. Ora è il turno di Wannacry e tutto lascia supporre che la battaglia con questo codice (battaglia nella quale stanno ora per entrare le principali case di antivirus) sia solo agli inizi. Ed è destinata a durare a lungo.

Quali sono le vittime

Vittima di Wannacry è chi ha commesso almeno due gravi errori al tempo stesso. E vanno commessi entrambi gli errori, perché uno solo non basta:

  • non aver installato la patch MS17-10 diramata nel mese di marzo. Sarebbe sufficiente avere gli aggiornamenti automatici attivati per non doverci nemmeno pensare: ogni mese, il primo martedì del mese Microsoft rilascia gli aggiornamenti di sicurezza più importanti per i propri sistemi ed avere un sistema ben mantenuto è la condizione prima per arginare le peggiori minacce;
  • nel caso in cui il proprio sistema sia vulnerabile, l’apertura di un file contenente il codice maligno di Wannacry o l’improvvido click su un apposito link ne consente l’installazione. Impossibile pensare che le modalità rimarranno le medesime: worm o phishing che sia, il malware si moltiplica comunque passando per l’elemento umano o attraverso reti aziendali di pc. La consapevolezza di quel che si fa online, unitamente all’utilità di software antivirus e ad una necessaria informazione quotidiana, consentono di evitare la maggior parte dei rischi.

Una volta installato il malware, si diventa marionette nelle mani dei malfattori. Ad un dato momento il ransomware fa scattare i propri lucchetti e da quel momento in poi si è in fase di emergenza, impossibilitati ad utilizzare il pc e privi dei propri file, in certi casi anche importanti. A quel punto piangere sui mancati aggiornamenti, sulla mancata attenzione e sui mancati backup non serve più.

Perché i pagamenti sono in Bitcoin

Per liberare i file dal lucchetto di Wannacry è necessario pagare una somma pari a 300 dollari. Tale somma va però pagata in Bitcoin, procedura non semplice per tutti. La scelta dei Bitcoin è ovvia da parte degli autori della truffa: grazie a questa procedura riescono a rimanere anonimi e non debbono gestire nel mondo fisico un flusso di denaro che sarebbe altrimenti tracciato secondo la filosofia del “follow the money”.

Si può spegnere?

La prima versione di Wannacry poteva essere spenta. La scoperta è avvenuta “per caso” grazie ad un ricercatore che ha immediatamente notificato quanto scoperto, provvedendo affinché il danno potesse essere limitato.

Semplicemente il creatore del malware ha inserito un “kill switch” all’interno del proprio codice consistente in un nome a dominio che, se trovato attivo, avrebbe detronizzato l’azione del ransomware. Difficile capire la reale motivazione all’origine di tale stratagemma: un eccesso di cautela che giocoforza andrà a depotenziare il malware. Il ricercatore ha pertanto registrato tale dominio a proprio nome, affinché potesse essere attivato subito bloccando ogni nuova potenziale infestazione.

Tale azione nulla può per i pc già infetti e al tempo stesso alcune varianti del codice prive di “kill switch” sono già state identificate.

Dunque sì: Wannacry poteva essere spento. Ora però il malware si sta già moltiplicando con modalità nuove e senza paracaduti: il pericolo continuerà a moltiplicarsi e soltanto la diffusione del “vaccino” della patch può mettere tutti al sicuro. A tal proposito va segnalato come Microsoft con uno sforzo supplementare abbia diramato aggiornamenti anche per le vecchie versioni di Windows, non più ufficialmente supportate, così da consentire l’update anche sui sistemi più datati evitando che potessero facilmente diventare focolai di infezione.

Cosa possono fare le vittime?

Poco. Un apposito sito consigliato anche dall’Europol ricorda come ci siano alternative al pagamento del riscatto per poter riavere i propri file, ma che la prevenzione sia comunque l’unica vera soluzione da tenere in considerazione in generale. Una volta infettato il pc, infatti, spesso non si può più far nulla. In alcuni casi è invece possibile tentare il salvataggio in extremis sfruttando alcune chiavi disponibili pubblicamente, con le quali forzare il blocco e liberare il proprio sistema. Per maggiori informazioni è possibile seguire le istruzioni disponibili sul sito “No more ransom!“.

Il termine «ransomware» si riferisce a un malware che blocca il computer e i dispositivi mobili, oppure codifica i file elettronici contenuti nei dispositivi. Quando questo avviene, l’utente non può più accedere ai propri file e dati, a meno che non paghi un riscatto. In ogni caso il pagamento del riscatto non è una garanzia di riavere i propri dati e non si dovrebbe mai pagare!

 

 

Luca Robusto - Founder of www.ip4you.it