I computer privati e di strutture pubbliche di diversi Paesi nel mondo (in Europa, negli Stati Uniti, in Russia, Ucraina e India) sono finiti sotto un attacco cyber martedì. Il secondo di queste dimensioni, nel giro di appena cinque settimane. A metà maggio infatti, un’altra azione informatica malevola colpì 150 Stati e oltre duecento mila utenze. L’attacco iniziato martedì, al momento della stesura di questo articolo, è ancora in corso, e il numero di soggetti danneggiati è destinato a crescere, ha spiegato il direttore della National Surveillance and Intelligence australiana David Sobbi, anche perché al momento pare che non ci sia il cosiddetto “kill switch”, quello che permise a un informatico britannico di bloccare la diffusione dell’attacco di maggio.

È STATO UN (ALTRO) RANSOMWARE

“Wannacry” era il nome dell’attacco di maggio, “Petwrap” quello che alcuni come l’italiano Pierluigi Paganini stanno usando per il malware simile che ha colpito lunedì – sembra si tratti di un variante di un altro già noto come Petya, ma non è uguale, per questo Kaspersky, una delle più grandi società di sicurezza informatiche a livello globale, lo ha per il momento battezzato “NotPetya”. In entrambi i casi si è tratto di ransomware, ossia virus (andando per semplificazione) che una volta che si sono inseriti in un computer, ne sequestrano i file contenuti inviando una richiesta di riscatto per sbloccare la macchina (in questo caso, come per Wannacry, il prezzo è l’equivalente di 300 dollari in Bitcoin). I ransomware entrano nei sistemi molto spesso tramite mail di phishing, ossia quei messaggi che hanno un aspetto del tutto simile a quelli inviati ad un utente da un contatto noto, e in cui è inserita la richiesta di aprire un link: una volta aperto il collegamento esterno il virus è già dentro al software. Unico modo possibile per tamponare la situazione è cercare di riavviare il computer immediatamente e spegnerlo prima che venga infettato.

If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6

— Hacker Fantastic (@hackerfantastic) 27 giugno 2017

ANCORA ETHERNAL BLUE

Dalle prime analisi pare che anche Petya, allo stesso di Wannacry, abbia sfruttato un tool conosciuto come EthernalBlue come elemento per potenziare il proprio effetto (sfrutta una faglia nei protocolli informatici per la condivisione dei file nei sistemi operativi Windows, che però la società a tappato fornendo mesi fa una patch di aggiornamento). EthernalBlue, per quanto noto, è stato sottratto dagli archivi della National Security Agency (l’agenzia americana che si occupa di signal intelligence) e poi diffuso online in aprile da un gruppo di hacker che si fa chiamare Shadow Borkers. Secondo alcuni esperti contattati da CyberAffairs, agenzia stampa italiana specializzata del settore, il problema dell’ampia propagazione di questo secondo attacco è stato anche “la sciatteria di alcuni amministratori di sistema” perché sarebbe bastato aggiornare i normali anti-virus, che hanno già contromisure sviluppate verso questi tipi di ransomware. Anche se, secondo il servizio online Virus Total, soltanto 15 dei 61 principali anti-virus sarebbe stato in grado di individuare Petya modificato in Petwrap – che dalle prima analisi è considerato peggiore di Wannacry perché attacca direttamente l’hard drive dei computer.

LE AZIENDE COLPITE E LA DIMENSIONE DELLA SITUAZIONE

Petya ha causato gravi disagi a grandi imprese europee e americane: tra queste la società di pubblicità inglese WPP, la francese Saint-Gobain (che si occupa di materiali edili), le imprese siderurgica e petrolifera russa Evraz e Rosneft. Sotto attacco anche l’azienda alimentare Mondelez, lo studio legale australiano di caratura mondiale DLA Piper, l’enorme società di trasporti navali danese AP Moller-Maersk, e il Heritage Valley Health System , che gestisce gli ospedali e le strutture di assistenza medico-sanitaria a Pittsburgh. Si ricorderà che Wannacry colpì invece il sistema sanitario inglese, rendendo impossibile ai medici l’accesso alle cartelle dei pazienti: è questa una dimostrazione evidente della dimensione del rischio, con persone malate che non potevano ricevere le necessarie somministrazioni mediche perché i computer degli ospedali erano stati bloccati in attesa della richiesta di pagamento dal ransomware.

pic.twitter.com/iixDbTkfP5

— Maersk (@Maersk) 27 giugno 2017

LA DIFFUSIONE DALL’UCRAINA

L’unità addetta al cyber crimine della polizia ucraina sostiene che il malware sia stato “seminato” all’interno della patch di aggiornamento del programma di contabilità di alcuni uffici governativi di Kiev, e da lì sia partito tutto. Questo potrebbe spiegare il motivo per cui tante organizzazioni ucraine sono state colpite: uffici del governo, banche, utilities statali, il sistema aeroportuale e la metropolitana di Kiev, hanno subito l’attacco. Anche il sistema di monitoraggio delle radiazioni di Chernobyl è stata danneggiato, costringendo i dipendenti a utilizzare i contatori portatili per misurare i livelli nelle zona di esclusione dell’ex centrale nucleare.

UN’IPOTESI

Alcuni analisti, come per esempio l’esperto Nicholas Weaver, sostengono – osservando alcuni elementi che dimostrano come l’attacco non sia stato troppo raffinato – che in realtà dietro ci sia stato qualcuno che aveva solo un obiettivo “distruttivo e dannoso, camuffato da ransomware”. Il fatto che la concentrazione degli attacchi ci sia stata in Ucraina, manda la mente al 2015, quando il governo di Kiev accusò la Russia di aver colpito Ukrenego, società che gestisce la rete elettrica ucraina. In un’ottica di warfare, sembra ovvio sottolineare come mettere fuori uso i sistemi informatici col fine di bloccare il flusso di un’utenza nevralgica (reti elettriche, idriche, sistemi sanitari, trasporti) è pari a un bombardamento aereo sugli stessi obiettivi.

IL PARERE DEGLI ESPERTI SENTITI DALL’AGENZIA CYBER AFFAIRS

Come evitare e come rimuovere un’infezione da ransomware dal computer?