Scopriamo insieme cos’è il ransomware Wannacry e la storia della sua diffusione che ha bloccato ospedali, fabbriche e banche di mezzo mondo.
A tutti sarà capitato di ritrovarsi molteplici mail spam ad intasare la propria casella di posta elettronica, o ancor peggio ricevere chiamate o messaggi estremamente sospetti dove venivano richieste credenziali bancarie e altri dati personali, e sicuramente – almeno per le giovani generazioni – a nessuno sarà venuto in mente di aprire nessuno di questi messaggi. Ma cosa succede se viene bloccato l’accesso ai propri dispositivi, con tanto di riscatto per essere riattivati? Rispondiamo a questa domanda illustrando più precisamente cosa sia accaduto nel 2017 e, soprattutto, cos’è il Ransomware Wannacry.
Cos’è un Ransomware?
Bloccando l’accesso degli utenti ai dispositivi, il ransomware Wannacry finì per provocare danni enormi soprattutto al sistema sanitario inglese, quello maggiormente colpito. Il termine ransomware viene da ransom, che significa riscatto, e malware, che indica un documento o messaggio di posta elettronica in grado di apportare danni ad un sistema informatico, ed infatti tramite phishing o clickjacking i virus del ransomware riescono ad inserirsi all’interno del dispositivo elettronico e a bloccarlo. Più precisamente si dovrebbe parlare di crypto ransomware Wannacry dato che il riscatto doveva avvenire in criptovalute, come il Bitcoin.
Timeline dell’attacco
Per capire cos’è il ransomware Wannacry ricostruiamo la timeline dell’attacco.
Tutto ha inizio nell’agosto del 2016 sulla piattaforma social media X, al tempo denominata Twitter, quando iniziano ad essere pubblicati una serie di post dal contenuto alquanto bizzarro, quasi un anno prima dell’attacco ufficiale del ransomware wannacry. Dietro queste dichiarazioni vi era il gruppo di hacker chiamati Shadow Brokers, che affermavano di essere entrati in possesso di armi informatiche molto pericolose, ottenute dopo aver rubato dei file appartenenti al cosiddetto Equation Group, un altro gruppo di hacker molto probabilmente collegato all’NSA, l’Agenzia per la Sicurezza Nazionale degli Stati Uniti. Questi file sarebbero stati venduti durante un’asta che sembrava essere indirizzata proprio alla NSA, data l’elevata somma di bitcoin richiesti per l’acquisto di queste armi informatiche. Per questo il post verrà quasi del tutto ignorato, sia per quanto era scritto grammaticalmente male, sia per il fatto che non riuscì ad attirare molta attenzione.
Stessa cosa, poi, nell’ottobre del 2016 quando, sulla stessa piattaforma, viene postata un’altra prova del fatto che i Shadow Brokers erano in possesso dei software sviluppati dall’Equation group, di cui vennero pubblicati alcuni nomi. Il mese successivo, un altro post annuncia l’inizio dell’asta di queste tecnologie, dando una serie di direttive per accordare i pagamenti, andando sempre a fornire delle prove – tramite screenshot – delle armi che possedevano.
Un anno dopo, in prossimità dell’attacco del ransomware Wannacry nell’aprile del 2017, con un altro messaggio, sempre sulla piattaforma X, questi Shadow Brokers forniscono le credenziali di accesso ai file che contenevano una serie di codici e virus in grado di compromettere gli utenti che utilizzavano il sistema operativo Linux. Anche questo ulteriore avvertimento verrà, però, ignorato.
13 Aprile 2017, inizio della minaccia
Il gruppo hacker, non ottenendo nessun tipo di remunerazione o attenzione, posterà un file con tre cartelle al suo interno, e tra i contenuti di queste era presente un virus – sempre rubato dall’Equation Group – chiamato Eternalblue, considerato poi il perno del ransomware Wannacry. Per rispondere alla domanda cos’è il ransomware Wannacry, dobbiamo anche capire perché Eternalblue fu fondamentale. Quest’ultimo era proprio il malware capace di entrare all’interno di dispositivi a distanza, sfruttando una falla trovata nel sistema operativo Windows. Chiunque avesse Windows sul proprio computer, quindi, era fortemente a rischio. Per questo motivo, un mese prima dell’ultimo e più dannoso leak degli Shadow Brokers, Microsoft – forse sotto consiglio dell’NSA – aveva diffuso un pacchetto di aggiornamenti che mirava a tappare quella falla presente in Windows, cosa che attenuerà notevolmente i danni, che comunque furono di portata enorme.
Un utente anonimo deciderà di acquistare proprio Eternalblue, infettando almeno 300 mila computer.
Il ransomware Wannacry inizia l’infezione
Il 12 Maggio 2017, in Asia, venne utilizzato per la prima volta Eternalblue che entrò nei dispositivi elettronici di circa 150 paesi, bloccando qualsiasi tipo di dati o file e lasciando solo un avviso sul desktop che richiedeva il riscatto del dispositivo tramite un pagamento in bitcoin. Ovviamente non tutti gli utenti potevano effettuare tali pagamenti, e per questo moltissime aziende fallirono dopo aver perso dati sensibili che andavano dalla clientela alle finanze stesse dell’impresa.
La perdita maggiore però si verificò in Inghilterra, dove il Sistema Sanitario Nazionale volgeva totalmente su Windows, dove quindi erano conservate ogni tipo di informazioni su clienti, medici, ambulanze, prescrizioni e così via. Oltre a danneggiare l’NHS inglese, Wannacry colpì anche l’operatore telefonico spagnolo Telefónica, la casa automobilistica francese Renault e la rete ferroviaria tedesca Deutsche Bahn, giusto per citare alcune delle vittime più note.
Il contributo di Marcus Hutchins
Per capire a fondo cos’è il ransomware Wannacry è fondamentale citare l’intervento di Marcus Hutchins, informatico inglese di 23 anni, che ha analizzato e bloccato il virus. Se volessimo spiegarlo in parole poche, il ransomware Wannacry presentava un meccanismo del tipo Kill-switch, nome di un dominio inesistente a cui il software continuava ad agganciarsi. Non riuscendo a trovare tale dominio, il malware continuava a diffondersi attraverso le reti, e per questo Hutchins decide di registrare proprio il dominio che aveva trovato per far sì che il virus finalmente si agganciasse e, infine, autodistruggesse. Molti credono che la presenza del Kill-switch sia stata voluta proprio dall’autore del virus, forse per evitare che la situazione sfuggisse di mano.
Concludendo, a distanza di quasi 7 anni, sebbene sia stata trovata una risposta alla domanda cos’è il ransomware Wannacry, l’identità di chi ha scatenato questo disastro informatico è ancora sconosciuta, ma recentemente gli Stati Uniti hanno dichiarato di aver indicato la Corea del Nord come principale sospettato, insieme alla vicina Russia. Altri sospetti riguardano alcuni individui che hanno precedentemente lavorato per la NSA, dato che tutti i file diffusi illegalmente costituivano anni di ricerche da parte proprio dell’Agenzia statunitense. Infine, danneggiando migliaia di computer e soprattutto di utenti, questo spiacevole evento insieme agli altri casi di attacchi virtuali hanno dimostrato e confermato come uno dei luoghi più pericolosi del mondo non sia tanto fisico, quanto lo spazio virtuale.
Fonte immagine in evidenza: Pixabay
