Computer hacker in hoodie and mask stealing data from laptop. Mixed media

Il Ransomware prevedibile

Il 12 maggio abbiamo assistito al più grande attacco ransomware di tutti i tempi. Un attacco che ha messo in ginocchio aziende private e pubbliche in ben 150 Paesi del mondo. Un attacco che avrebbe potuto avere rilevanza pari a zero se tutti gli attori di questa tragicommedia avessero operato nel modo corretto.

Tra gli obiettivi più importanti segnaliamo alcune agenzie governative, Teléfonica, l’operatore di rete spagnolo, Megafon, la seconda più grande compagnia telefonica russa, e 45 ospedali del Regno Unito. Secondo l’Europol sono state colpite più di duecentomila persone in 150 paesi, tra cui Stati Uniti, India, Cina, Spagna, Italia, Russia e Regno Unito. Nel caso di Teléfonica, ben l’85 per cento di tutto il parco macchine sarebbe stato preso in ostaggio. In UK gli ospedali sono stati costretti a dirottare le ambulanze presso strutture non infettate. Cerchiamo di fare un po’ di chiarezza.

Generalmente il ransomware viaggia via mail e per poter essere attivato ha sempre bisogno di un’azione da parte dell’utente: apertura di un allegato infetto, clic su un link, download dal cloud di finti documenti (recentemente è stato usato anche Dropbox come vettore per recapitare il codice maligno). Non si installa da solo. Ha sempre bisogno dell’utente che, incolpevolmente perché sviato da sofisticate tecniche di social engineering dei malintenzionati, compie un’azione che attiva il malware. L’attacco a cui abbiamo assistito è diverso e ha sfruttato le criticità  di Windows, in particolare relative al protocollo Smb (Server Message Block) usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete. Quindi, non ha richiesto nessun intervento da parte dell’utente ma automaticamente ha scovato e infettato i computer esposti sul Web con vecchi sistemi operativi o con le ultime versioni di Windows ma non aggiornate. Già , perché Microsoft aveva rilasciato a marzo la patch di sicurezza che riparava la falla (per tutte le versioni di Windows salvo XP che da tempo non è più supportato dal colosso di Redmond) ma non tutti hanno fatto l’aggiornamento. La stessa Microsoft, visto quello che era successo, dopo il fattaccio ha lavorato per rendere disponibile una patch anche per Windows XP.

È vero, il ransomware si trasmette grazie a EternalBlue, una cyber arma della Nsa (l’agenzia per la sicurezza nazionale statunitense), rubata e diffusa online lo scorso aprile dal gruppo hacker Shadow Brokers, che prima ha cercato di venderla, poi l’ha pubblicata nel deep web. Ma non avrebbe avuto rilevanza se sui computer non avesse trovato Windows XP o versioni di Windows più recenti ma non aggiornate. Cosa ci insegna allora tutto ciò? Che i software di sicurezza sono importanti ma che gli aggiornamenti del sistema operativo lo sono ancora di più e che per poter intervenire in caso di disastro (ricordiamoci che un computer assolutamente sicuro è un computer spento) è meglio fare periodicamente i backup che poi vanno tenuti scollegati dalla macchina e dalla rete. 

PCProfessionale © riproduzione riservata.