Dal 12 maggio migliaia di computer sono stati infettati dal virus Wannacry. Lo scopo di questo ‘agente infettante’ è quello di permettere ai suoi sviluppatori di guadagnare dalle vittime. Il Ransomware in questione (il suo nome tecnico) blocca i file personali del PC, richiedendo un riscatto al proprietario. L’operazione avviene attraverso la cifratura forzata delle cartelle interessate, generando successivamente una chiave che viene inviata agli sviluppatori. In questo modo solo loro potranno ‘sbloccare’ i file. La cifra richiesta per questa operazione parte da 300 dollari ed aumenta nel corso delle ore (fino a 600 dollari), inducendo l’utente a pagare. L’infezione si è propagata in circa 200.000 macchine ed in 100 paesi. La sua diffusione è stata possibile grazie ad una falla presente nei vecchi sistemi Windows (XP e 7). Il ‘buco’ riguarda il protocollo SMB, utilizzato per condividere tra i nodi di una rete informazioni o hardware di varia natura (stampanti, file ed altro). Attraverso questo processo i vari PC connessi riescono ad autenticare gli altri nodi, non permettendo la comunicazione con computer esterni. Sui sistemi XP e 7 non aggiornati è presente però una vulnerabilità. Per sfruttarla era stato creato uno script che permetteva di aggirare l’autenticazione. In questo modo ci si poteva introdurre nei PC della rete senza alcun tipo di interazione da parte dell’utente.
Questo exploit (EternalBlue) era stato elaborato dalla NSA (l’agenzia per la sicurezza nazionale americana), ma da tempo era finito nelle mani del gruppo di hacker chiamati The Shadow Brokers. ‘I Distruttori dell’Ombra’ avevano trafugato qualche mese fa questa arma informatica, rendendola successivamente di pubblico dominio. Partendo da questa base si è creato l’ormai celebre ‘Wannacry’. Il suo funzionamento è tanto banale quanto efficace. Il primo computer viene infettato attraverso un file malevolo inviato via mail che, se aperto, autoinstalla il software. Una volta inseritosi nel PC, il virus infetta tutti gli altri presenti nella rete locale, senza che gli utenti possano fare alcuna operazione. Immaginatevi un ufficio pubblico con 50 computer datati ed un dipendente poco accorto: i danni sono immensi. La diffusione è stata rallentata grazie ad un ragazzo inglese di 22, che ha scoperto “l’interruttore” di Wannacry. Prima di avviarsi il malware contattava un indirizzo web non registrato; appena il dominio è andato online il virus ha rapidamente diminuito la sua corsa. Questo vuol dire che gli sviluppatori avevano inserito un kill switch di sicurezza, che fosse in grado di arrestare il processo d’infezione. I timori rimangono, visto che il virus potrebbe essere riscritto senza questo interruttore. Il problema è che molti utenti dimenticano o rimandano gli update, rendendo inutile il lavoro di aggiornamento del produttore. Il consiglio è quello di non rimandare: quando vi viene richiesto procedete.
Il secondo punto è tanto banale quanto importante: non scaricate file di cui non siete certi. Un mittente sconosciuto, un ordine online che non avete fatto, una comunicazione della banca o delle poste: ognuna di queste mail è quasi certamente un virus. Occorre prestare molta attenzione perché lo stile grafico è spesso vicino alle originali, causando un po’ di confusione nell’utente.
E’ stata presentata da Leonardo al Forum PA, evento dedicato ai temi dell’innovazione della Pubblica Amministrazione in programma dal 23 ad oggi, a Roma, una soluzione innovativa di cyber intelligence per contrastare e prevenire minacce di tipo ransomware, il virus che agisce criptando i dati degli utenti e chiedendo un riscatto per rilasciarli.
Esempio recente di ransomware è il cosiddetto ‘WannaCry’, di cui abbiamo parlato, che in poche ore ha compromesso migliaia di computer in diversi Paesi con gravi conseguenze, dalla perdita temporanea o permanente di informazioni riservate o proprietarie a danni finanziari e di immagine.
Integrata con la tecnologia Raptor dell’azienda Cyber Intuition, la nuova soluzione consente di fermare la propagazione del virus, intercettando i tentativi di esecuzione e impedendo la crittografia dei dati utente e di sistema.
La soluzione consente, inoltre, il recupero dei dati attraverso una sofistica metodologia qualora una nuova tipologia di ransomware riesca ad aggirare i sistemi di riconoscimento. Questa funzione risponde alle direttive in tema di trattamento dei dati personali e al regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016.
La nuova tecnologia è a disposizione della Pubblica Amministrazione nell’ambito del contratto quadro con Consip ‘SPC Lotto 2 per i Servizi di Identità Digitale e Sicurezza Applicativa’. Leonardo è capofila di un RTI, con IBM e Fastweb come mandanti, per l’implementazione di questo progetto, tra i capisaldi dell’agenda digitale italiana.
Naomi Sally Santangelo
ProgettoItaliaNews Piccoli dettagli, grandi notizie.
