Alcuni Hacker hanno attaccato, con il Malware WanaCrypt0r 2.0, i computer di 99 Paesi (tra cui l’Italia), mettendo in ginocchio istituzioni come il servizio sanitario britannico, e aziende grosse come Renault.
Europol ha ribatezzato quest'offensiva "di dimensioni senza precedenti" e sulla quale "sarà necessaria una complessa investigazione internazionale per identificare i responsabili".
Si tratta della più grande epidemia di Virus nella storia, anzi per essere precisi di Ransomware.
Secondo alcune ricostruzioni, per lanciarlo sarebbe stato usato EternalBlue, una cyber arma dell'NSA che è stata trafugata dal gruppo Hacker Shadow Brokers.
Il Ransomware è un tipo di Malware che blocca le macchine che vengono infettate finché non viene pagata una somma.
Un vero e proprio riscatto elettronico.
Sugli schermi dei computer presi di mira, che non possono essere riavviati, appare un messaggio che chiede una somma in Bitcoin.
I portafogli di Bitcoin apparentemente associati con i cybercriminali stanno intanto già incassando. Ma pagare potrebbe essere inutile: non è assolutamente detto che i responsabili rilascino i codici di sblocco dopo aver incassato le somme.
WANACRYPT0R 2.0
Nel mondo sono stati già registrati 75mila attacchi del Malware WanaCrypt0r 2.0 (anche chiamato WannaCry), Virus trasmesso via-email che cripta i file del computer tenendoli in ostaggio fino a quando non si paga un riscatto.
Nel caos molte strutture pubbliche e private.
La Renault ha dovuto fermare la produzione nei suoi stabilimenti in Francia per impedire il diffondersi del Malware.
In Gran Bretagna, migliaia di operazioni sono state annullate, servizi sospesi, ambulanze dirottate verso indirizzi sbagliati, dati personali e database dei pazienti ormai non più consultabili dai medici. Il sistema sanitario britannico è stato la vittima più importante: almeno 45 strutture locali, tra cui ospedali, ambulanze, manicomi e la Nissan automobilistica.
In Germania l'attacco cybernetico ha colpito la compagnia ferroviaria Deutsche Bahn (DB).
Computer bloccati per Telefonica in Spagna e per Portugal Telecom.
In USA FedEx ha ammesso di avere problemi mentre in Russia un migliaio di computer del ministero dell'Interno sono stati infettati.
Sempre in Russia, il più grande istituto bancario, la Sberbank, ha riconosciuto che c'è stato un tentativo di penetrazione nei suoi sistemi ma che le misure di difesa lo hanno impedito e che non c'è stata alcuna violazione dei dati.
Visco al termine del G7 Finanze di Bari: "L'attacco ha avuto luogo attraverso un ben identificato sistema operativo, ma aveva anche come risultato l'utilizzo di Bitcoin"
In Italia è stata infettata l'Università Bicocca di Milano, dove però l'attacco sarebbe stato "circoscritto".
In Asia, sono stati colpiti ospedali, scuole e università, ma non si sa in che misura.
Secondo l'agenzia Xinhua, sono stati colpite scuole secondarie e università.
Il consigliere per la cybersecurity del governo giapponese ha spiegato che sono state colpite alcune istituzioni, ma non ha chiarito quali. L'agenzia sudcoreana Yonhap ha parlato di un ospedale universitario a Seul.
Il 'bug' impiegato dai pirati sarebbe contenuto nell'Smb Server di Windows, su cui la stessa Windows era intervenuta con un aggiornamento di sicurezza a marzo; ma i computer che non avevano installato l'aggiornamento di sicurezza sono risultati vulnerabili.
Alla fine è stato un ragazzo di cybersecurity di 22 anni che, quasi per caso, ha bloccato la diffusione su tutto il pianeta di WannaCry: ha comprato per pochi dollari il nome di dominio nascosto nel programma e ne ha impedito la diffusione, per esempio negli USA.
L'analista ha utilizzato una sorta di pulsante, con ogni probabilità inserito da chi ha creato il Virus per disattivarlo quando avesse voluto.
Si era accorto infatti che quando procedeva ad attaccare un nuovo computer, WannaCry provava a contattare la pagina web: se falliva, WannaCry andava avanti con l'attacco, ma se aveva successo si fermava.
Dunque per infettare una nuova macchina, WanaCry cerca di contattare un indirizzo web composto «da una serie di lettere senza senso e numeri che termina con gwea.com».
Se il Virus non riesce a contattare quel sito, «rimbalza», e continua l’infezione.
MalwareTech ha fatto quel che nessuno, fino a quel momento, aveva pensato di fare: ha controllato se quel dominio fosse stato registrato, o acquistato, e da chi.
Nessuno lo aveva fatto.
È a quel punto che ha avuto l’intuizione di essere di fronte a un «kill switch», un meccanismo che gli Hacker avevano creato per «disinnescare» il Virus nel caso in cui ne avessero avuto bisogno.
Ha acquistato il dominio su NameCheap.com, per 10,69 dollari.
E ha iniziato a guardare quel che accadeva.
Quando il Virus contatta il sito gwea.com, e lo trova, l’infezione si blocca istantaneamente. «Abbiamo iniziato subito a vedere 5, 6 mila tentativi di connessione al sito al secondo», ha detto: tutti i tentativi di infezione che avvenivano in giro per il mondo. E che, con quel sistema, lui stava neutralizzando.
"Stavo pranzando con un amico, sono tornato alle 15 e ho visto un flusso di notizie sulla sanità britannica (NHS) e varie organizzazioni colpite", ha detto al Guardian.
"Ho guardato un po' la cosa e ho visto che c'era un Malware dietro, che si connetteva ad un dominio specifico, non registrato. Così l'ho comprato senza sapere cosa facesse in quel momento"
Quando Malwaretech ha comprato il dominio, il Malware stava registrando migliaia di connessioni al secondo.
Il ragazzo ha spiegato di averlo acquistato perché la sua società traccia le "Botnet", cioè le reti infette da Malware e collegate tra di loro.
CHI C'E' DIETRO?
Ci potrebbe essere un gruppo di Hacker con collegamenti con la Russia ed altre nazioni dell'Est.
Un gruppo che rubò il Virus alla NSA all'indomani del raid aereo statunitense in Siria, forse come rappresaglia per il bombardamento ordinato dal presidente Donald Trump nella base aerea siriana.
Ad aprile, la misteriosa organizzazione criminale Shadow Brokers rese noto di aver rubato un 'arma digitale da un'agenzia di spionaggio americana, un'arma che dava un accesso senza precedenti a tutti i computer che usano Microsoft Windows, il sistema operativo più diffuso al mondo.
Eternal Blue, il tool rubato da Shadow Brokers, era stato messo a punto dalla National Security Agency (NSA), la potente unità di intelligence militare americana, che lo aveva voluto per introfularsi nei computer di terroristi e Stato nemici.
Eternal Blue, una volta scaricato da Shadow Brokers, è entrato in possesso di qualcuno che lo ha utilizzato per guadagnare l'accesso remoto ai computer di mezzo mondo.
Gli USA non hanno mai confermato che gli strumenti utilizzati da Shadow Brokers appartenessero all'NSA o ad altre agenzie di intelligence americane.
Di certo l'attacco di venerdì solleva interrogativi sui Paesi che, in numero sempre più crescente, mettono a punto e conservano armi informatiche; e inoltre punta l'indice sulla facilità con cui questi strumenti possano essere trafugati e utilizzati contro i cittadini.
Secondo l'Internet Security Threat Report 2017 di Symantec le famiglie di Ransomware sono aumentate da 30 a 101 dal 2015 al 2016 e i rilevamenti passati da 340.000 a oltre 460.000.
È aumentato anche il 'riscatto' medio richiesto per rientrare in possesso dei propri dati, in crescita da 294 dollari a 1.077 nel giro di un anno.
Nessun commento:
Posta un commento