LOGIN
A poco più di un mese da WannaCry, l'attacco hacker che ha colpito 300.000 computer in tutto il mondo, una nuova campagna ransomware ha messo KO i dispositivi di moltissime aziende in tutta Europa. Per chi non lo sapesse, il ransomware è un tipo di virus che cripta i dati degli utenti presenti all'interno del computer e chiede un riscatto per poterli riutilizzare (ransom in inglese vuol dire proprio riscatto). In un primo momento si pensava che l'attacco fosse stato effettuato con il virus Petya, un malware lanciato lo scorso anno e che ha colpito migliaia di dispositivi in tutto il Mondo, ma dalla analisi effettuate dalle aziende di sicurezza informatica sembrerebbe che l'attacco hacker sia stato effettuato da un nuovo ransomware, sconosciuto a tutti gli antivirus e quindi impossibile da bloccare.
Ma facciamo un po' di ordine. L'allarme di un nuovo attacco hacker è esploso verso le undici della mattina di giovedì, quando diversi enti governativi ucraini (tra cui la banca centrale e la centrale di Chernobyl) hanno iniziato a segnalare l'impossibilità di accedere ai file presenti nel proprio computer a causa di un messaggio presente sullo schermo che li avvertiva che il pc era stato hackerato. "If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service." Questo il testo del messaggio apparso sui computer delle vittime del nuovo ransomware, con la richiesta finale di pagare un riscatto di 300 dollari in bitcoin per riavere indietro i propri file.
Un attacco hacker che ricorda in tutto e per tutto WannaCry: dagli studi effettuati dagli esperti in sicurezza informatica, i pirati informatici avrebbero utilizzato la stessa falla per infettare i computer. Ma rispetto a WannaCry, il nuovo ransomware non presenta "il bottone magico" che la scorsa volta aveva bloccato la diffusione del ransomware. Questo rende il virus pericolosissimo, dato che sono pochissimi gli antivirus che riescono a riconoscerlo.
Come hanno attaccato gli hacker
La nuova campagna ransomware avrebbe moltissime cose in comune con WannaCry. Gli hacker avrebbero utilizzato una falla presente nel protocollo SMB di Windows, utilizzato dal sistema operativo di Microsoft per far comunicare le stampanti e per condividere i file tra i computer presenti all'interno della stessa Rete. Al virus basta infettare un computer, per limitare l'accesso a tutti i dispositivi collegati alla Rete aziendale. E per riuscire a sfruttare la falla del protocollo SMB, gli hacker avrebbero utilizzato l'exploit EternalBlue, la cyber arma rubata alla NSA (l'agenzia per la sicurezza nazionale degli Stati Uniti) da hacker russi lo scorso anno e usata anche durante WannaCry. Nonostante Microsoft abbia rilasciato un aggiornamento per tappare la "falla", il ransomware è riuscito a colpire migliaia di dispositivi. La colpa è da imputare principalmente agli utenti che non aggiornano il proprio sistema operativo, diventando facile preda per gli hacker.
Come agisce il ransomware
Il problema che stanno riscontrando le agenzie di sicurezza informatica è riuscire a capire quale ransomware sia stato utilizzato per realizzare l'attacco. In un primo momento si pensava fosse opera di Petya, un virus lanciato per la prima volta nel 2016. Ma dopo analisi approfondite, più di qualche esperto ha sollevato alcuni dubbi sulla colpevolezza di Petya: l'attacco hacker sarebbe stato realizzato usando un nuovo ransomware, rinominato NotPetya, sconosciuto a tutti gli antivirus. E questo lo renderebbe pericolosissimo.
Il virus si nasconderebbe all'interno di un allegato inviato tramite e-mail: basta scaricarlo sul proprio computer per restare infettato. Inoltre, rispetto ai classici ransomware che criptano i singoli file presenti nel computer, il nuovo virus blocca l'accesso a tutto l'hard disk, rendendo impossibile qualsiasi operazione all'utente.
Come bloccare il ransomware
WannaCry era stato bloccato grazie all'intuizione di un giovane esperto in sicurezza informatica che aveva scoperto la presenza di un kill switch, una sorta di bottone magico che ha bloccato l'epidemia ransomware. In questo caso non è presente nessun kill switich: se si viene colpiti dal virus, le possibilità a disposizione degli utenti sono pochissime.
Le Nazioni più colpite
Tra le vittime del nuovo attacco hacker ci sono aziende di importanza mondiale. Come la russa Rosnoft o la multinazionale dei servizi legali DLA Piper. Ma la Nazione più colpita sembrerebbe essere l'Ucraina, dove il ransomware ha bloccato i computer di molti enti governativi, della Banca Centrale, della metropolitana di Kiev e di un aeroporto. Secondo alcune fonti ucraine, il virus avrebbe colpito anche i computer della centrale nucleare di Chernobyl, ma senza creare nessun tipo di malfunzionamento. L'attacco avrebbe colpito delle aziende anche in Francia, Spagna e Russia. In Italia non si hanno notizie certe, ma sembrerebbe che il ransomware abbia colpito qualche azienda.
Quanto hanno guadagnato gli hacker
Chi ci sia dietro l'attacco hacker è impossibile saperlo. È probabile che ci siano dei pirati informatici russi, ma notizie certe non ce ne sono. E anche seguire il flusso dei soldi è inutile. Il conto bitcoin collegato al pagamento del riscatto è stato chiuso dopo aver raccolto poco più di ottomila euro, una cifra irrisoria per gli hacker.
Come difendersi dal nuovo attacco hacker
Come detto in precedenza, difendersi da questo nuovo ransomware è veramente difficile, dato che sono pochissimi gli antivirus che riescono a riconoscerlo. Per non finire nella trappola del malware, l'unico strumento è la prevenzione. In primis si deve aggiornare costantemente il sistema operativo (il ransomware sfrutta una falla di Windows che Microsoft aveva tappato lo scorso marzo) e l'antivirus. Inoltre, non si devono mai scaricare gli allegati che provengono da un mittente che non si conosce: nella maggior parte dei casi nasconde un virus come NotPetya. E lo stesso discorso vale per i link: non si deve cliccare su delle URL poco affidabili. Infine, è necessario effettuare costantemente il backup dei dati: se gli hacker bloccano l'accesso al computer con il ransomware, basterà formattare per poter tornare a usare il pc.
