Skip to main content

WannaCry, cosa è successo a Renault-Nissan e Hitachi (e come bisticciano Usa e Russia)

Forza 47 cyber security

Il Bloody Monday di WannaCry non c’è stato. Almeno al momento della stesura di questo articolo (per chi vuole l’andamento è seguito live anche dalla BBC), il virus informatico diffusosi venerdì infettando in poche ore 150 Paesi (e qualcosa come 200 mila computer), si è arrestato. O meglio: almeno in Europa è così, come ha spiegato Jan Op Gen Oorth, capo portavoce di Europol – l’agenzia UE che gestisce le pratiche comunitarie in materia di sicurezza –, che ha detto alla agenzia France Press che il numero delle vittime non è cresciuto in maniera considerevole, e  per questo la situazione può essere considerata stabile, quasi un successo. “Allo stato attuale, non v’è alcuna indicazione di una seconda ondata di casi qui nel Regno Unito”, ha detto Lynne Owens, capo del National Crime Agency (il Regno Unito è stato uno dei Paesi più colpiti, perché il virus ha attaccato i sistemi di cliniche e ospedali).

MOLTI SISTEMI SONO STATI AGGIORNATI…

Gli esperti temevano che l’avvio della settimana lavorativa potesse portarsi dietro una nuova ondata di diffusione. Invece apparentemente la risposta è stata efficace, dopo l’iniziale superficialità che aveva esposto i computer al malware (di tipo “ramson-ware”, ossia un codice che penetra nel computer, lo blocca criptando tutti i file, e chiede un pagamento per riattivarlo senza perdere i dati; in questo caso servivano 300 dollari). “Molti addetti alla sicurezza informatica hanno fatto i compiti nel weekend”, ha aggiunto Op Gen Oorth, ironizzando sulle mancate update che hanno aperto la falla. Windows aveva infatti già diffuso a marzo una patch gratuita che avrebbe potuto fermare proprio lo specifico attacco di venerdì, ma evidentemente ne era stata sottovalutata l’importanza e non era stata istallata (per sottostima, negligenza, perché gli aggiornamenti in azienda possono rallentare i ritmi, inoltre per i sistemi Windows XP non era disponibile e anche da questi, che rappresentano il 7 per cento dei OS Microsoft s’è lanciata la diffusione).

… MA UNA NUOVA VERSIONE COLPISCE IN CINA (E NON SOLO)

Dalla mattinata di lunedì, ora asiatica, si è scoperto però che diversi computer cinesi, sudcoreani, indonesiani e giapponesi sono finiti nuovamente sotto attacco. Dozzine di macchine cinesi sono state aggredite da una nuova versione di WannaCry che non contiene la cosiddetta “kill-switch”, una specie di pulsante di auto-distruzione che chi lo ha lanciato in rete avrebbe potuto usare per fermare l’infezione. Il codice era stato scoperto da un hacker noto come MalwareTech domenica, e aveva notevolmente rallentato la diffusione da computer a computer, ma gli esperti lo ritenevano una misura temporanea. Perché Wannacry ha possibilità di diffondersi anche senza ricevere la fatidica mail di abbocco, perché passa per una falla di sicurezza presente nel protocollo SMB Server di Windows (cioè nel sistema di condivisione dei file), e questa è una delle caratteristiche di implementazioni del ramsonware che ha segnato l’attacco (il più potente del genere), ed è il modo in cui molti computer sono finiti contagiati online, intossicando a loro volta quelli delle reti interne a cui erano collegati. L’Agenzia per l’Italia Digitale e il Cert-Pa hanno redatto sui loro siti delle linee guida sul da farsi se si è stati colpiti e su cosa fare per evitare l’attacco: in sintesi, aggiornare Windows, disattivare subito le condivisioni di rete per i computer colpiti.

mappa_malwaretech

ALTRE AZIENDE COLPITE 

Sotto attacco in queste ore è finita anche Nissan, che ha bloccato un impianto a Sunderland: stessa sorte è stata decisa da Renault per lo stabilimento produttivo di Douai, nordest francese, rimasto chiuso lunedì come “misura preventiva” dice l’azienda francese. Inoltre circa 29mila computer di istituzioni all’interno della Cina sono state infettate, di cui 4300 istituti scolastici, secondo i dati di Qihoo 360’s Threat Intelligence Centre, e più di 20 mila stazioni di rifornimento sono state bloccate quando la China National Petroleum Corporation ha bloccato i collegamenti con i distributori. A Hong Kong, dove è immediatamente entrato in azione l’Hong Kong Computer Emergency Response Team (HKCERT), l’attacco ha colpito alcune aziende del settore finanziario, ma non ci sono stati commenti ufficiali. La Hitachi ha invece detto apertamente di aver sofferto problemi nell’invio di mail (e con la ricezione, particolarmente lenta), che secondo Yuko Tainiuchi, portavoce della società, sono da collegare all’attacco hacker. Anche la East Japan Railway, società ferroviaria giapponese, è stata tra i bersagli delle ultime ore.

Schermata 2017-05-15 alle 15.37.53

LA DENUNCIA DI PUTIN

Intanto il presidente russo Vladimir Putin ha criticato l’intelligence americana per quello che è successo – lo hanno già fatto in tanti, tra cui Edward Snowden. Putin ha calcato la mano sul fatto che il codice per sfruttare la vulnerabilità di Windows con cui è stato armato il ramsonware (nota come Eternal Blue) era stato scoperto e confezionato come arma digitale dalla National Security Agency statunitense. Il pacchetto offensivo è stato poi rubato ai servizi americani e diffuso online: da lì è diventato merce in mano ai criminali. Parlando da Pechino, dove si trovava per l’inaugurazione del progetto geopolitico cinese OBOR, Putin ha detto che servono “leader politici seri” per affrontare la questione della sicurezza informatica, perché altrimenti le armi create possono rivolgersi contro di noi. Non può non notarsi la mossa politica: mentre tra Cina e Stati Uniti è in atto una mastodontica operazione di equilibrio, riassetto globale, il presidente russo coglie l’occasione della sovrapposizione dell’attacco al meeting internazionale organizzato da Pechino – colpita dallo stesso attacco – per criticare Washington. La Russia è comunque stato il paese più colpito da WannaCry.

 



×

Iscriviti alla newsletter