Il giorno in cui il mondo si fermò
Il 12 maggio 2017, il mondo della cybersecurity ha assistito a uno degli attacchi più devastanti mai registrati. Un ransomware chiamato WannaCry ha colpito con una rapidità inaudita, infettando oltre 230.000 computer in 150 paesi nel giro di poche ore. Ospedali, aziende, enti governativi e infrastrutture critiche si sono trovati improvvisamente paralizzati: file inaccessibili, dati bloccati e un messaggio che chiedeva un riscatto in Bitcoin per recuperarli.
L’attacco non ha colpito solo utenti privati, ma anche organizzazioni di rilievo, mettendo in crisi settori fondamentali come la sanità, la logistica e il governo. Tra le vittime più celebri si trovano il Servizio Sanitario Nazionale del Regno Unito (NHS), colossi industriali come Renault e operatori della logistica come FedEx. Gli ospedali britannici hanno dovuto annullare operazioni chirurgiche e rinviare visite mediche, lasciando i pazienti senza cure.
Dietro questa devastazione si celava EternalBlue, una vulnerabilità nei sistemi Windows scoperta e tenuta segreta dall’NSA, poi trafugata e resa pubblica dal gruppo di hacker noto come Shadow Brokers. WannaCry ha segnato un punto di svolta nella storia della sicurezza informatica, dimostrando come una singola falla nei sistemi informatici possa scatenare il caos su scala globale.
Come funziona WannaCry: il meccanismo dell’infezione
WannaCry è un ransomware worm, un tipo di malware capace di diffondersi automaticamente senza bisogno di interazione da parte dell’utente. Il suo funzionamento si articola in tre fasi principali:
- Penetrazione e diffusione: il ransomware sfrutta la vulnerabilità EternalBlue per entrare nei sistemi Windows non aggiornati. Una volta infettato un dispositivo, WannaCry si diffonde lateralmente all’interno della rete aziendale, compromettendo altri computer senza bisogno di credenziali o interazioni umane.
- Cifratura dei file: una volta installato, WannaCry cripta i file presenti sul sistema utilizzando un algoritmo di crittografia AES-128. Tutti i documenti, immagini e database diventano inaccessibili, con l’estensione dei file modificata in .WNCRY.
- Richiesta di riscatto: sullo schermo compare un messaggio che informa l’utente che i file sono stati criptati e che per recuperarli è necessario pagare un riscatto in Bitcoin, con una scadenza oltre la quale i dati sarebbero stati cancellati definitivamente.
A rendere WannaCry così pericoloso non è solo la crittografia, ma la sua capacità di diffondersi autonomamente, trasformandolo in un’epidemia digitale.
L’origine dell’attacco: il coinvolgimento della Corea del Nord
Dopo mesi di indagini, diverse agenzie di sicurezza, tra cui il National Security Agency (NSA) e il Federal Bureau of Investigation (FBI), hanno attribuito l’attacco WannaCry al Lazarus Group, un gruppo di hacker legato al regime della Corea del Nord. Gli analisti hanno scoperto che il codice di WannaCry presentava similitudini con altri malware già attribuiti a Lazarus, come quelli usati negli attacchi contro Sony Pictures nel 2014 e nei furti alle banche internazionali.
L’obiettivo della Corea del Nord era probabilmente quello di raccogliere fondi attraverso il pagamento dei riscatti in Bitcoin per aggirare le sanzioni economiche internazionali. Tuttavia, WannaCry si è diffuso fuori controllo, colpendo anche organizzazioni che il regime nordcoreano non intendeva prendere di mira, causando un’ondata di reazioni diplomatiche a livello globale.
L’impatto globale: i settori più colpiti
L’attacco WannaCry ha avuto un impatto devastante su diversi settori, evidenziando la vulnerabilità delle infrastrutture globali.
Il Servizio Sanitario Nazionale del Regno Unito (NHS) è stato uno dei bersagli più colpiti. Ospedali e cliniche hanno dovuto cancellare appuntamenti e interventi chirurgici, con pazienti lasciati senza cure a causa dell’inaccessibilità ai sistemi informatici. Questo ha messo in evidenza la fragilità delle reti sanitarie, che dipendono sempre più dalla tecnologia ma non sempre sono adeguatamente protette da minacce informatiche.
Anche le aziende private hanno subito gravi conseguenze. Multinazionali come Renault, FedEx e Telefónica hanno dovuto interrompere le operazioni, causando perdite economiche ingenti. Il ransomware ha bloccato intere linee di produzione, mandando in tilt catene di approvvigionamento globali.
Gli enti governativi non sono stati risparmiati. In Russia, il Ministero dell’Interno ha visto circa 1.000 computer infettati, mentre in Cina il ransomware ha colpito sistemi bancari, università e trasporti pubblici. Questo ha dimostrato come anche le istituzioni statali siano vulnerabili a simili minacce.
Si stima che i danni economici globali provocati da WannaCry abbiano superato i 4 miliardi di dollari, rendendolo uno degli attacchi informatici più costosi della storia.
Come WannaCry è stato fermato (per caso)
Uno degli aspetti più incredibili della storia di WannaCry è il modo in cui è stato fermato. Un giovane ricercatore di sicurezza britannico, Marcus Hutchins, noto anche come “MalwareTech”, stava analizzando il codice del ransomware quando ha notato un dettaglio insolito: il malware conteneva un dominio web apparentemente non registrato. Questo dominio era un kill switch, ovvero un meccanismo di emergenza inserito dai creatori del ransomware per poterlo disattivare in caso di necessità.
Senza sapere esattamente cosa sarebbe successo, Hutchins ha deciso di registrare il dominio per monitorarne l’attività. Con sua sorpresa, questa semplice operazione ha immediatamente bloccato la diffusione di WannaCry in tutto il mondo. Il ransomware, infatti, prima di eseguire l’infezione, tentava di connettersi a quel dominio: se la connessione andava a buon fine, il malware si auto-disattivava. Si è ipotizzato che questa funzione fosse stata inserita dagli sviluppatori per evitare di eseguire il malware in ambienti di test, ma l’errore ha portato alla sua neutralizzazione accidentale.
Sebbene questa scoperta abbia rallentato la diffusione di WannaCry, il malware non è stato completamente eliminato. Molti sistemi non aggiornati sono rimasti vulnerabili e, nel tempo, sono emerse varianti prive del kill switch, dimostrando che la minaccia non era completamente debellata.
Lezioni apprese e difese contro attacchi simili
L’attacco WannaCry ha lasciato molte lezioni fondamentali per la cybersecurity:
- L’importanza degli aggiornamenti: la patch per EternalBlue era stata rilasciata da Microsoft due mesi prima dell’attacco, ma milioni di utenti non l’avevano ancora installata. Questo dimostra quanto sia essenziale mantenere i sistemi aggiornati.
- La vulnerabilità delle infrastrutture critiche: il fatto che ospedali e servizi essenziali siano stati colpiti ha sollevato interrogativi sulla protezione delle reti pubbliche e sanitarie.
- Il pericolo delle vulnerabilità non divulgate: EternalBlue era una falla conosciuta dall’NSA, che ha scelto di non segnalarla per sfruttarla a fini di intelligence. La fuga di questi strumenti dimostra quanto possa essere pericoloso trattenere vulnerabilità senza correggerle.
- Necessità di backup e piani di emergenza: le aziende che avevano backup dei dati non hanno subito danni permanenti, mentre quelle impreparate hanno affrontato perdite enormi.
Un attacco che ha cambiato la cybersecurity
WannaCry è stato più di un semplice ransomware: è stato un campanello d’allarme per governi, aziende e utenti. Ha dimostrato quanto una vulnerabilità possa essere devastante se finisce nelle mani sbagliate e ha sottolineato l’importanza della sicurezza informatica nella protezione delle infrastrutture globali.
Sebbene WannaCry sia stato fermato, il suo codice è ancora in circolazione e ha ispirato molte varianti successive. La lezione è chiara: ignorare la cybersecurity oggi significa esporsi a rischi enormi domani. L’unico modo per prevenire nuove catastrofi digitali è adottare un approccio proattivo alla sicurezza, mantenendo i sistemi aggiornati e implementando strategie di difesa efficaci.
