Attacco Ransomware in tutta Europa: infettati ospedali e compagnie telefoniche

Un vastissimo attacco hacker è in corso in queste ore in tutta Europa e in Asia, facendo tornare alla ribalta il tema della sicurezza.

speciale Attacco Ransomware in tutta Europa: infettati ospedali e compagnie telefoniche
Articolo a cura di

Aggiornate i vostri PC, perché le patch di sicurezza stanno diventando sempre più importanti. Nelle ultime 24 ore abbiamo potuto vedere l'esempio perfetto di quanto lo siano, visto che migliaia di computer in tutta Europa e in Asia sono stati colpiti da un ransomware che ha creato non pochi problemi. Una situazione che potrebbe anche essere stata facilitata dalla presenza, ancora massiccia, di Windows XP in tanti settori cardine per l'occidente, come ad esempio gli ospedali. Insomma, l'attacco di ieri è stato reso possibile non solo grazie a un'attenta programmazione, ma anche grazie al mancato aggiornamento delle piattaforme software utilizzate. Un fatto che non passerà inosservato, e che spingerà molte aziende/enti a correre presto ai ripari.

Cosa è successo?

Wanna Decrypter, anche noto come Wanna Cry, letteralmente "Voglio piangere", è il ransomware responsabile dell'attacco che ieri ha bloccato migliaia di computer in tutta Europa, ma anche in Asia, che allo stato attuale sembra essere la regione più colpita. Il funzionamento di questo malware è simile a quello di molti altri software malevoli dello stesso tipo. Una volta installato sulla macchina, questo prende possesso del PC impedendo l'accesso ai dati al suo interno fino a quando l'utente non versa un riscatto ai malviventi. Malviventi che hanno richiesto 300$ per liberare i PC infetti, da pagare in Bitcoin: i portafogli legati al gruppo di cracker hanno già ricevuto pagamenti, come segnalato da diverse agenzie di sicurezza, ma ovviamente non c'è alcuna certezza che, una volta pagato, questi liberino effettivamente i PC infetti. Un attacco all'apparenza piuttosto semplice, si tratta del resto di un tipo di infezione molto diffusa e non certo nuova, ma la portata di questo avvenimento non ha precedenti nella storia dei ransomware. Insomma, la vicenda sta assumendo sempre di più i toni del giallo internazionale, con conseguenze anche molto gravi. Il sistema sanitario inglese, ad esempio, è stato gravemente colpito, e nelle scorse ore diversi ospedali hanno consigliato ai pazienti non gravi di non recarsi nelle strutture sanitarie, proprio a causa del blocco dei PC. Di fatto, nelle strutture colpite si è dovuto spegnere i computer infetti per limitare la diffusione del virus. In Spagna invece sono stati attaccati colossi come Telefonica, ma anche Gas Natural, Banca Santander e molti altri. Anche la Russia, storicamente paese da cui partono gli attacchi informatici, è stata presa di mira e attualmente risulta tra i più colpiti. Ma come è stato possibile infettare tanti computer in così poco tempo? Il ransomware si basa su due exploit chiamati EternalBlue e DoublePulsar, che a quanto pare fanno parte del pacchetto di software malevoli trafugati dall'NSA dall'organizzazione criminale Shadow Broker e poi diffusi online negli scorsi mesi. Questi sono noti da tempo, tanto che Microsoft ha già provveduto a rilasciare una patch di sicurezza apposita, per chiudere una falla nell'SMB Server di Windows, sfruttata per accedere ai computer e per infettarli.

Il ransomware quindi ha colpito solo macchine non aggiornate, ma anche quelle impossibili da aggiornare. Windows XP infatti, ancora molto usato nel settore business e nella pubblica amministrazione, non ha mai ricevuto l'update, visto che il supporto da parte di Microsoft è terminato da oltre un anno. Insomma, i cracker hanno avuto vita facile con questi sistemi, che non dovrebbero più essere utilizzati in contesti centrali per i cittadini, come gli ospedali. Purtroppo però i costi di upgrade in questi casi sono salati, visto che al costo dell'OS va spesso aggiunto l'aggiornamento o il cambio dei software professionali utilizzati sulle macchine, molto costosi. Insomma, quello di ieri è stato un attacco importante e ben studiato, ma non impossibile da evitare.

Aggiornamento (14 maggio ore 13): l'attacco informatico sta proseguendo anche oggi, con stime che parlano di 99 paesi colpiti in tutto il mondo. A subirne gli effetti anche Renault, che ha dovuto fermare alcuni impianti produttivi in Francia. Intanto, si è scoperto che la tecnologia utilizzata per la rimozione del ransomware è tutta italiana e si chiama Raptor, come confermato da Stefania Ranzato, AD di Cyber Intuition, che ha creato il software.