domenica 14 maggio 2017

Attacco hacker in 99 Paesi, Londra: “Non sappiamo chi c’è dietro”. Sospetti sui russi

lastampa.it

Nel mirino reti e ospedali dal Regno Unito alla Spagna. L’Europol: un’azione di dimensioni senza precedenti



«Non siamo in grado di dire chi ci sia dietro all’attacco. Il lavoro è ancora in corso», ha detto, parlando alla radio con la Bbc, il ministro dell’Interno del Regno Unito, Amber Rudd, precisando che il governo non sa ancora se dietro agli hacker che hanno colpito ieri ci sia qualche Paese straniero. Il ministro dell’Interno britannico ha reso noto che il governo ha raccomandato agli ospedali e ai centri sanitari colpiti dal massiccio attacco hacker di «non pagare» il riscatto chiesto dal software per recuperare i dati. Ieri i pirati informatici hanno attaccato 99 Paesi annunciando che il pc era stato preso in ostaggio con un virus detto ransomware, e per liberarlo era necessario pagare un riscatto in bitcoin, ovvero l’equivalente di 300 dollari. 

«Il nostro consiglio è chiaro, non pagare», ha detto alla Bbc la ministra Tory, ricordando che le strutture sanitarie che conservano dati clinici dei loro pazienti devono tenere aggiornati i loro sistemi informatici per «non cadere nella trappola» di un attacco hacker. Rudd ha spiegato che almeno 45 strutture locali del sistema sanitario britannico - tra cui ospedali, servizi di ambulanze, centri di salute mentali- sono stati interessati venerdì dal virus che chiedeva il pagamento del riscatto per poter accedere ai computer. «Finora tutto quello che abbiamo visto è che i pazienti hanno subito inconvenienti e alcuni ospedali e alcuni dottori sono stati costretti a cambiare la loro agenda della giornata».

Il ministro ha aggiunto che il virus in questione «funziona particolarmente bene con sistemi interconnessi, per questo è probabile che abbia coinvolto grandi organizzazioni, più che individui». Rudd ha assicurato che «non sono state trasferite informazioni sui pazienti in nessun momento», ma ha aggiunto che l’accaduto deve servire ai gestori dei sistemi informatici della sanità pubblica perché «imparino» la lezione e tengano aggiornato il software con cui lavorano.

In base a un articolo pubblicato lo scorso mercoledì dalla rivista British Medical Journal, il 90% dei computer del sistema sanitario britannico utilizza il sistema operativo Windows XP, lanciato da Microsfot nel 2001. «Windows XP non è la migliore piattaforma per tenere al sicuro le tue informazioni, rispetto ad altre più moderne», ha detto il ministro. L’attacco hacker che ha colpito reti informatiche secondo l’Europol è un’azione «di dimensioni senza precedenti». 

Secondo quanto scrive il quotidiano britannico Telegraph potrebbe essere stato un gruppo di hacker con collegamenti con la Russia il motore all’origine dell’attacco hacker. Un gruppo che rubò il virus agli 007 americani all’indomani del raid aereo statunitense in Siria, forse come rappresaglia per il bombardamento ordinato dal presidente Donald Trump nella base aerea siriana. Ad aprile, la misteriosa organizzazione criminale, Shadow Brokers, rese noto di aver rubato un’arma digitale da un’agenzia di spionaggio americana, un’arma che dava un accesso senza precedenti a tutti i computer che usano Microsoft Windows, il sistema operativo più diffuso al mondo.

Eternal Blue, il tool rubato da Shadow Brokers, era stato messo a punto dalla National Security Agency (Nsa), la potente unità di intelligence militare americana, che lo aveva voluto per introfularsi nei computer di terroristi e Stato nemici.


L’attacco hacker globale è stato fermato da un ragazzo di 22 anni con un dominio da 10 dollari
lastampa.it



È stato un esperto di cybersecurity di appena 22 anni che, quasi per caso, ha bloccato la diffusione su tutto il pianeta di WannaCry, il micidiale virus ransomware che ha mandato in tilt organizzazioni del calibro di FedEx e Telefonica, ma anche il Servizio sanitario britannico e la Renault: ha comprato per pochi dollari il nome di dominio nascosto nel programma e ne ha impedito la diffusione, per esempio negli Usa.

In sostanza l’analista ha usato e attivato «un interuttore-killer», che era scritto nel malware stesso, una sorta di pulsante di emergenza, con ogni probabilità voluto da chi ha creato il virus per disattivarlo quando avesse voluto. Si è accorto infatti che quando procedeva ad attaccare un nuovo computer, WannaCry provava a contattare la pagina web: se falliva, WannaCry andava avanti con l’attacco, ma se aveva successo si fermava. E ne ha dedotto che se WannaCry non poteva avere accesso a quel dominio avrebbe cominciato a funzionare in maniera erratica nella rete, cercando nuovi siti da attaccare, fino a disattivarsi. Come infatti è successo.

L’analista, che twitta da un account chiamato, @malwaretechblog, ha ammesso di non aver realizzato, quando comprava il dominio per appena 10,69 dollari, che avrebbe messo a segna un colpo così fortunato. Parlando a The Daily Beast, Malware Tech ha spiegato di aver notato il nome di un dominio, una sequenza di lettere priva di senso il cui finale era sempre lo stesso, gwea.com, nel codice: «Ho visto che non era ancora registrato, ho pensato che l’avrei preso». A quel punto. Lo ha acquistato su NameCheap.com per 10,69 dollari. Ma appena il dominio è stato attivo, ha capito la potenza dell’attacco: ha cominciato a registrare migliaia di connessioni, «cinque/seimila al secondo». E si sono bloccati migliaia di attacchi, ma lui ha ammesso di averlo fatto «solo per caso».

Nel momento in cui @malwaretechblog registrava il dominio era troppo tardi per aiutare chi era sotto attacco in Europa o Asia; ma chi era in Usa ha avuto il tempo di mettersi al riparo prima che i loro sistemi informatici fossero colpiti.


Quel virus diventato letale grazie ai codici della Nsa
lastampa.it
carola frediani

WannaCry attivato da strumenti digitali una volta usati dagli 007 Usa. I cybercriminali hanno sfruttato la falla di un software Microsoft


Il messaggio di richiesta di riscatto comparso sugli schermi dei computer infettati

Quell di ieri è stato il «Blitzkrieg» (la guerra lampo) delle estorsioni digitali. Un attacco improvviso, massivo, fulmineo che nel giro di poche ore ha colpito 74 Paesi, mandando ko organizzazioni come il colosso spagnolo Telefonica o una serie di ospedali britannici.

«Pagate o addio ai files»
I virus del riscatto, noti come ransomware, non sono un fenomeno nuovo, e nella loro reincarnazione più aggressiva imperversano anche in Italia da almeno due anni. La dinamica è la seguente: arriva una mail che sembra provenire da un ente noto, ma è inviata dai criminali; l’utente apre l’allegato che infetta il suo pc; i file vengono cifrati e diventano irrecuperabili, a meno di non averne una copia da qualche parte; gli attaccanti lasciano le istruzioni per pagare un riscatto con la moneta elettronica Bitcoin e ottenere la chiave per decifrarli.

Questo era l’andamento generale fino a ieri. Che è stata però una giornata senza precedenti per l’aggressività del software malevolo impiegato e per la sua capacità di diffondersi come un incendio. Infatti esistono tante varietà di ransowmare, tante famiglie diverse, più o meno efficaci. Quella responsabile dell’esplosione di ieri si chiama «WannaCry»: esisteva da marzo, e a dire il vero non sembrava fare molti danni. Ciò che l’ha «armata», trasformandola nel panzer dei ransomware, è stato un codice di attacco, battezzato Eternalblue, che era originariamente usato dall’Agenzia nazionale per la sicurezza Usa, la Nsa.

Come è finito online
Tale strumento - in gergo exploit - sfruttava una vulnerabilità di un software di Microsoft. Sconosciuta ai più, almeno fino a quando, alcune settimane fa, non è stata messa online, a disposizione di chiunque, da un misterioso gruppo di hacker di nome Shadow Brokers. I quali hanno in qualche modo sottratto una serie di strumenti e di «armi digitali» all’agenzia Usa; e a cominciare dalla scorsa estate hanno iniziato a buttarli online. Dunque, succede che Shadow Brokers si impossessa dell’attacco informatico della Nsa. Lo rilascia online. Qualcuno lo prende, lo usa per potenziare un ransomware mediocre, e inizia una campagna globale e massiva di infezioni. Che propagandosi velocemente dentro le organizzazioni colpite le mette in ginocchio.

Perché è così potente
L’attacco rubato alla Nsa che sfrutta la falla Microsoft permette al virus di diffondersi facilmente attraverso la rete interna di una organizzazione. È per questo motivo che anche grosse aziende, che fino a ieri riuscivano a gestire senza problemi delle occasionali infezioni di ransomware, in questo caso sono state travolte. Microsoft a marzo avevo chiuso la falla in questione ma il problema è che molti utenti, enti, imprese non hanno fatto l’aggiornamento. Per inciso: la vulnerabilità riguarda i Microsoft Windows Smb Server, e se non avete ancora aggiornato, fatelo adesso.

Caccia al «colpevole»
Le campagne di ransomware sono generalmente gestite da diversi individui o gruppi a scopo di lucro. Una parte di questa attività cybercriminale è tradizionalmente concentrata nell’Europa dell’Est, ma ovviamente ci sono autori di ransomware in molti Paesi, Italia compresa. È quindi probabile - in assenza di elementi contrari - che anche questa esplosione abbia una natura criminale, anche se non è chiaro dove origini. Va detto che i Paesi colpiti ieri sera erano 74, secondo ricercatori dell’azienda Kaspersky. Tra quelli più bersagliati ci sono Russia, Ucraina, Taiwan. L’Italia era al tredicesimo posto, secondo dati dell’azienda Eset.

Bersagli colpiti via email
Questo genere di attacchi è spesso fatto a pioggia e a 360 gradi. I cybercriminali inviano il virus a liste di email di cui sono entrati in possesso, localizzando solo i messaggi nella lingua del Paese. Ma è possibile che recentemente ci sia più interesse verso target specifici - aziende e ospedali - perché ritenuti più propensi a pagare. Per altro versare il riscatto non garantisce mai il recupero dei dati. E alimenta un’economia criminale.

@carolafrediani