È stato necessario annullare diversi interventi in grandi ospedali del Regno Unito, mentre gli esperti di TI cercavano di ripristinare il controllo della rete di computer del servizio sanitario. In Francia, la Renault ha mandato a casa 3 500 dipendenti mentre lavorava per limitare i danni presso una delle fabbriche principali. Oltre 30 000 computer sono stati attaccati solo in Cina, mentre gli attacchi continuavano lunedì 15 maggio.
L’attacco, che ha cominciato a colpire i computer venerdì, ha continuato a fare danni al rientro al lavoro lunedì. Mentre i tecnici di tutto il mondo cercavano di rendere sicure le reti, si era già cominciato a puntare il dito. L’attacco ha colpito i sistemi operativi di Microsoft e l’azienda ha incolpato l‘Agenzia nazionale per la sicurezza (NSA) del governo degli Stati Uniti di aver sviluppato un exploit che ha causato l’attacco.
Un grimaldello per entrare nei sistemi – non esistono exploit innocui
Gli Stati Uniti sono accusati di aver creato l’exploit “EternalBlue” come strumento per ottenere l’accesso a computer che usano il sistema operativo di Microsoft, Windows. Descritto come un “grimaldello” da un esperto di sicurezza, si crede che lo strumento sia andato poi a finire online e sia stato usato da criminali cibernetici per prendere il controllo di computer vulnerabili in tutto il mondo. I criminali hanno poi preteso da chi era stato colpito un pagamento di 300 dollari in bitcoin, una valuta virtuale usata online, per riscattare i propri dati.
Parlando al
Daily Telegraph nel Regno Unito, Sean Sullivan, consulente di sicurezza per F-Secure, una società di sicurezza informatica, ha detto: “Shadow Brokers ha ottenuto dalla NSA gli strumenti che hanno esposto una vulnerabilità nei sistemi operativi di Microsoft. Hanno diffuso le istruzioni che spiegano come entrare. L’exploit è il “grimaldello” per aprire la porta e il ransomware è la “bomba a mano” da lanciare una volta entrati.”
Tenete i patch di sicurezza aggiornati, se potete
Anche se la sequenza di azioni che ha portato a questo attacco mondiale è ancora oscura, si sostiene che la NSA avesse avvertito Microsoft che il suo strumento di pirateria informatica era stato rubato e l’azienda avesse rilasciato un patch a marzo. I sistemi operativi del 2009 o precedenti però, come anche il Windows XP, ancora molto usato, non erano coperti. E anche quando era disponibile, molti utenti non l’hanno scaricato comunque. Gli esperti di ciber-sicurezza dicono che il malware si è potuto diffondere attraverso computer che usavano versioni di Windows Microsoft senza questo patch. Hanno invitato gli utenti a usare i propri computer solo in modalità di sicurezza finché non si fossero assicurati di aver installato l’aggiornamento che bloccava il ransomware.
Un esperto di sicurezza informatica, conosciuto solo come MalwareTech su Twitter, è riuscito a fermare la diffusione del ransomware, per lo meno temporaneamente,
attivando un “arresto di emergenza” digitale. Il ricercatore, un ventiduenne inglese che lavora per l’azienda di intelligence Kryptos Logic di Los Angeles, è stato elogiato dal capo del centro per il crimine informatico dell’Europol, Steven Wilson. “Ha avuto un ruolo significativo nel rallentare l’avanzamento del malware,” ha spiegato Wilson. MalwareTech ha twittato che gli hacker potevano aggiornare il virus. “La versione 1 di WannaCrypt poteva essere fermata, ma nella versione 2.0 probabilmente si eliminerà questa falla,” ha detto su Twitter. “Sarete al sicuro solo se installate il patch il più presto possibile.”
Microsoft ha fatto una cosa insolita e ha rilasciato un fix per versioni più vecchie di Windows lo scorso venerdì, quindi adesso anche chi usa XP, per il quale l’assistenza è stata interrotta nel 2014, possono essere coperti. Una volta scaricato e installato, questo fix aiuterà i proprietari di circa 70 milioni di computer in tutto il mondo che usano ancora XP. Il fix è stato progettato anche per Windows 8 e Windows Server 2003.
Un problema globale e un campanello d’allarme
Entro venerdì sera, il ransomware si era diffuso negli Stati Uniti e nel Sud America, ma l’Europa e la Russia sono state le regioni più duramente colpite, secondo i ricercatori di sicurezza Malware Hunter Team. Il ministro degli interni russo dice che circa 1 000 computer sono stati colpiti. I ricercatori sulla sicurezza del Kaspersky Lab hanno registrato oltre 45 000 attacchi in 74 paesi, tra cui Regno Unito, Russia, Ucraina, India, Cina, Italia e Egitto. In Spagna sono state infettate grandi aziende tra cui l’azienda di telecomunicazioni Telefónica.
Microsoft ha invitato i governi a considerare gli attacchi come un campanello d’allarme. Il presidente dell’azienda e il responsabile dell’ufficio legale, Brad Smith, ha scritto: “Abbiamo visto i punti deboli della CIA comparire su WikiLeaks e adesso questa vulnerabilità rubata dalla NSA ha colpito i clienti di tutto il mondo.” Smith ha dichiarato alla BBC: “I criminali informatici diventano sempre più sofisticati e quindi non c’è altro modo per i clienti di proteggersi contro le minacce se non aggiornando i loro sistemi.”
La risposta dell’UE alle minacce informatiche globali
L’UE sta investendo ampiamente nella ricerca sulla sicurezza informatica. 334 milioni di euro in finanziamenti sono stati assegnati nell’ambito del 7° PQ tra il 2007 e il 2013. Altri 160 milioni di euro sono stati assegnati nella prima fase di Orizzonte 2020 e 450 milioni di euro saranno investiti nel
partenariato pubblico-privato per la sicurezza informatica per il periodo 2017-2020.
Per maggiori informazioni su quello che i progetti finanziati dall’UE stanno facendo nel campo della sicurezza informatica, consultare il Results Pack su
Proteggere il ciberspazio: risultati concreti dalla ricerca e dall’innovazione dell’UE.