Un virus con domanda di riscatto
Prima la Spagna, poi l’Inghilterra. In quella che sarà ricordata come una giornata nera per la sicurezza informatica europea con grandi gruppi iberici e ospedali britannici bersagliati da una serie di attacchi informatici. Notizie di “infezioni” sono giunte anche da Portogallo, Russia, Ucraina e da un’università italiana. Tecnicamente si tratta di attacchi “ransomware”, ossia software malevoli che criptano i files memorizzati sugli hard disk e chiedono un riscatto per renderli nuovamente disponibili. La cifra richiesta è di 300 dollari da pagare in bitcoin entro il 15 maggio. In mattinata erano state colpite le reti interne di Telefonica e Tuenti. Allerta per una possibile infezione hanno interessato anche arrivate anche da Iberdrola e Gas Natural. Secondo i media spagnoli si sarebbe trattato di un attacco di portata nazionale anche se per ora non ci sarebbero conseguenze sulla rete gestita da Telefonica. Il gruppo ha comunque chiuso i suoi collegamenti interni in Spagna e con l’estero per prevenire la propagazione del virus. Ai dipendenti della sede centrale di Madrid è stato ordinato si spegnere pc e dispositivi collegati alla rete.
Nel pomeriggio sono stati attaccati 16 ospedali pubblici e pronto soccorso britannici di diverse aree del paese(Londra, Essex, North Hertfordshire, Southport e Ormskirk) per un attacco che Londra definisce di portata nazionale. Le visite di routine sono state annullate e gli staff medici sono stati costretti a ricorrere a carta e penna.
Le schermate apparse su PC sono le stesse. Un elemento che suggerisce ma non prova in maniera definitiva la medesima origine degli attacchi. Secondo alcune ricostruzioni l’incursione informatica proverrebbe dalla Cina, almeno per quanto riguarda quello di ieri mattina in Spagna. Le autorità britanniche hanno escluso che si possa trattare di un’operazione “state sponsored” ossia orchestrata con il supporto di un governo straniero.
Secondo Stefano Zanero, esperto di sicurezza informatica che insegna al Politecnico di Milano, siamo probabilmente di fronte ad un’azione non coordinata ma riconducibile ad un unico gruppo. Uno schema di ransomware classico che forse ha ottenuto un risultato molto più ampio rispetto a quello che gli stessi attaccanti si aspettavano. Il fatto stesso che l’importo richiesto sia modesto dimostra come l’attacco non sia stato studiato su un obiettivo specifico ma impostato per colpire più soggetti possibile. Gli ospedali britannici potrebbero essere stati scelti in quanto soggetti non particolarmente avanzati come capacità di difesa informatica.
Ieri mattina le autorità spagnole avevano segnalato come il ransomware sfrutti delle vulnerabilità di Windows Microsoft che la società statunitense aveva reso note lo scorso 14 marzo. Lo stesso Zanero sostiene vi sia una relazione con quanto reso noto lo scorso aprile dal gruppo hacker “Shadow Brokers” su debolezze, che in gergo si definiscono “exploit”, di alcune versioni di Windows utilizzate dalla National Security Agency statunitense per infiltrare alcune reti tra cui quella SWIFT che gestisce i pagamenti tra banche di diversi paesi. Le autorità spagnole per la sicurezza informatica hanno definito l’attacco breve ma molto grave. È stato ipotizzato che i virus sfruttino anche le informazioni diffuse da Wikileaks relative a “Vault 7” ossia le tecniche impiegate dalla Cia per spiare attraverso pc, smartphones e televisori.
LO SCHEMA Secondo Stefano Zanero (Polimi) si tratta di una tecnica d’infiltrazione rubata alla Nsa americana