WannaCry e Petya: i ransomware che minacciano il mondo

Un attacco del tutto simile a quello di Wannacry ha nuovamente gettato il mondo nel panico e riacceso le paure per il futuro.

speciale WannaCry e Petya: i ransomware che minacciano il mondo
Articolo a cura di

Wannacry è tornato. In una versione inedita chiamata Petya e apparsa in Ucraina, Danimarca e Gran Bretagna, il virus più contagioso e terribile degli ultimi anni è tornato a farsi minaccioso gettando nuovamente nel panico l'Europa. A poco meno di due mesi dall'attacco che a maggio aveva gettato tutti nello sconforto, le grandi aziende del Vecchio Continente sono ricadute nuovamente in un incubo. A nulla sono valse le precauzioni prese dopo il primo attacco e questa volta le possibilità che le cose possano peggiorare sono più che presenti, vista l'evoluzione subita dal virus in così poco tempo. Per ora la situazione pare in evoluzione e le conseguenze ancora tutte da calcolare, ma la psicosi collettiva si è ripresentata ancora una volta con tutto il suo carico di giustificate paure e questo potrebbe accadere anche in futuro.

Un virus terribile

Balzato agli onori delle cronache a maggio Wannacry ha subito fatto parlare di se per la sua semplicità e per il suo particolare sistema di attacco. Il programma appartiene alla categoria dei Ransomware, un malware tra i più pericolosi in circolazione, in grado di insinuarsi e nascondersi nei computer e criptare ogni file salvato al suo interno o su hard disk e chiavette ad esso collegati. Il programma annulla completamente il sistema operativo, inibisce la possibilità di riavvio e rende inaccessibili tutti i file al suo interno, criptandoli con l'estensione .WCRY. Nell'unico file accessibile, denominato @Please_Read_Me@ viene richiesta una somma in denaro per sbloccare il tutto. L'importo del riscatto si aggirava inizialmente in 300 dollari per poi raddoppiare a 600 dopo la diffusione dell'epidemia. La somma richiesta doveva essere pagata in bitcoin per evitare qualsiasi tipo di tracciabilità fiscale. Il programma si è distinto per l'utilizzo di dati estratti da alcuni file dell'NSA statunitense: questi preziosi documenti sono entrati in possesso degli hacker e sono stati utilizzati per la creazione del terribile virus. Fiutata la minaccia Microsoft aveva rilasciato un aggiornamento due mesi prima della diffusione dell'epidemia, ma il tardivo e mancato aggiornamento di alcuni terminali di importanti aziende ha poi lasciato campo libero al virus, capace di insinuarsi in tutti i sistemi non opportunamente aggiornati. Come spesso accade in questi casi il malware ha trovato terreno fertile grazie link e finte email. La situazione è peggiorata per la natura stessa del virus, capace di aver accesso a tutti i terminali connessi alla rete dell'unità infettata per prima.

Alle origini dell'epidemia

Era il pomeriggio dell'11 maggio 2017 quando il virus iniziò a far parlare di sé per un attacco che colpì su larga scala alcuni sistemi informatici sparsi in tutto il mondo. Ad essere messi in ginocchio furono oltre 150 paesi, con almeno 200 mila vittime tra grandi aziende e importanti multinazionali. In Francia la Renault ha dovuto fermare la produzione dei suoi stabilimenti per impedire la diffusione. In Gran Bretagna migliaia di operazioni sanitarie, servizi e ambulanze sono state bloccate per la diffusione del virus all'interno del sistema sanitario. Ad essere colpite sono state oltre 45 strutture locali tra ospedali, servizi di ambulanze e centri di salute mentali. La Germania ha dovuto fare i conti con i problemi al trasporto ferroviario con la compagnia DB sotto pesante attacco. Compagnie telefoniche in crisi anche in Spagna e Portogallo, mentre in USA FedEX ha dovuto correre ai ripari per evitare guai piuttosto seri. Problemi anche in Russia, addirittura al ministero dell'Interno e in Asia, con ospedali, scuole e università in difficoltà. A impedire ulteriori danni l'azione provvidenziale di un informatico di 22 anni. L'uomo, quasi per caso, ha bloccato la diffusione di Wannacry comprando per circa 15 dollari il dominio del sito internet nascosto che il programma utilizzava prima di diffondersi. Ogni volta che il virus attaccava un nuovo computer provava a contattare il medesimo indirizzo non registrato: è bastato renderlo accessibile per attivare il "kill switch" del programma, un interruttore studiato dagli stessi programmatori per renderlo innocuo a seconda delle esigenze. Il giovane ricercatore aveva individuato l'indirizzo all'interno del codice sorgente del malware e aveva deciso di registrarlo, rendendo il virus del tutto innocuo. Un vero colpo di fortuna che ha impedito conseguenze ben più catastrofiche: la registrazione del dominio è arrivata a poche ore dall'inizio della giornata lavorativa negli Stati Uniti. Se il virus non fosse stato debellato in tempo avremmo avuto a che fare con un disastro ancora più grande e dalle conseguenze incalcolabili. Tutto finito quindi? Neanche per scherzo.

Petya, il Wannacry 2.0

A poche ore dalla fine dell'incubo Wannacry ha iniziato a diffondersi la voce di una nuova versione del virus senza il suo bottone di emergenza, quindi libero di agire e impossibile da fermare. Questa nuova versione sembra aver fatto la sua comparsa nei giorni scorsi, prendendo il nome di Petya. Come il suo predecessore ha preso di mira i sistemi Windows e ha mostrato le sue stesse caratteristiche, criptando i computer colpiti e chiedendo un riscatto in bitcoin per essere eliminato. La particolarità inedita di questa nuova versione è quella di riuscire a bloccare l'intero hard disk del computer, compresi programmi e sistemi operativi. La prima denuncia è arrivata da una compagnia danese di trasporto marittimo, seguita poi da altre segnalazioni in Russia e Ucraina, con alcune alte sfere governative colpite dal virus. Ad essere "contagiati" anche alcuni negozi, la metropolitana, l'aeroporto di Kiev e la centrale nucleare di Cernobyl, con numerosi sistemi di controllo delle radiazioni fuori uso. Il copione pare essere il medesimo di qualche mese fa tra allarmi in Gran Bretagna, Francia e India, grandi aziende come Mars e Nivea in difficoltà e un allarme che sembra aver coinvolto circa 2000 persone e 65 paesi. L'attacco, per ora su scala leggermente minore, sta facendo discutere per la sua portata differente rispetto a quanto successo due mesi fa. Se Wannacry aveva colpito solo grandi aziende e aveva un sistema di pagamento funzionante e preciso, Petya ha attaccato anche centri di sicurezza nazionali, centrali elettriche e nucleari, mandando in blocco interi sistemi e mostrando un sistema di pagamento inutile e fallimentare, segno che il suo obiettivo non era quello di raccogliere soldi, ma attaccare centri di potere e mostrare la pericolosità di questi attacchi, facendo presagire qualcosa di ancora più terribile per il futuro.

Proprio il futuro è oggi il punto interrogativo più grande. In poco meno di due mesi sono balzati agli onori delle cronache due attacchi simili e di portata preoccupante. Petya ha sfruttato le stesse criticità e le medesime vulnerabilità utilizzate da Wannacry, segno che lo spavento non è servito a cambiare le cose o a mettere in allerta utenti comuni e grandi realtà. Ma se l'ingenuità dell'internauta meno esperto è cosa nota, tra email aperte per sbaglio, allegati scaricati con leggerezza e antivirus non aggiornati o inesistenti, non è del tutto tollerabile che grandi aziende abbiano falle così evidenti sui loro sistemi. In fondo per risolvere il problema è necessario aggiornare Windows alla sua ultima versione o installare la patch diffusa da Microsoft molto prima che la minaccia diventasse globale. Un po' di attenzione in più sarà fondamentale per scongiurare altri problemi ma l'impressione, visto lo stato attuale delle cose, è che altri attacchi arriveranno: gli hacker hanno capito di poter colpire e di poter puntare in alto, danneggiando realtà ben più grosse e importanti rispetto a quelle toccate sino ad ora. La triste sensazione è che questi primi due attacchi siano stati solo l'antipasto di colpi ben più grossi in preparazione. Se non si metterà un freno a tutto questo quello che succederà potrebbe avere conseguenze catastrofiche. Dobbiamo fare attenzione.