RANSOMWARE, VIRUS WANNACRY/ Impianto software ideato da un “novellino”? (16 maggio)

- Morgan K. Barraco

Ransomware, virus Wannacry: un esperto di Google nota la somiglianza con il gruppo hacker Lazarus. Diverse le somiglianze fra i due codici (16 maggio 2017)

computer_cyberviolenze_crimine_virus_intercettazioni_lapresse_2017
Lapresse

Il ransomware WannaCry, il virus protagonista dell’attacco hacker che ha messo in ginocchio mezzo mondo, potrebbe essere stato scritto in realtà da un “novellino” della pirateria informatica. A riferirlo al Wall Street Journal è stato Sean Sullivan, consulente per la sicurezza presso la F-Secure Corp, società con sede ad Helsinki, che ha detto:”Sembra sia stato scritto da un neofita”. Ma se gli esperti sono concentrati nell’analizzare il tipo di impianto del malware, d’altra parte ci si interroga anche su chi sia stato ad ordinare un attacco di così vaste proporzioni. I dubbi su presunti hacker riconducibili alla Corea del Nord, o addirittura alla Cina e alla Russia, restano tutti e ad instillare ulteriori dubbi ci pensa anche Becky Pinkard, vicepresidente della società di sicurezza Digital Shadows, che al WSJ dichiara:”Se mi occupassi della parte legale di questa vicenda, andrei dall’azienda che per prima è stata infettata e chiederei di dare un’occhiata alle suo credenziali”. (agg. di Dario D’Angelo)

Alla ricerca del “paziente zero”, la prima vittima infettata dal virus ransomware WannaCry. Lo riferisce il Wall Street Journal spiegando che se i ricercatori riusciranno a trovarla “potrebbero anche essere in grado di tracciare la firma di chi ha sferrato l’attacco”. Nel frattempo sono in tanti ad aver deciso di pagare il riscatto ai pirati informatici per riavere indietro i loro documenti prima della fine del countdown. Lo ha confermato Mikko Hypponen, presidente della società di sicurezza finlandese F-Secure Corp, scrivendo su Twitter che “oltre 200 vittime di WannaCry hanno pagato il riscatto e riavuto i loro file”. Una prassi, quella di pagare gli hacker, che Hypponen ha definito “non raccomandata”. Un altro dubbio riguarda come il virus si sia diffuso: probabilmente non tramite phishing, più probabilmente attraverso la connessione con la porta 445, ovvero un ‘ingresso’ di Windows normalmente isolato da Internet, che a causa di un bug potrebbe essere stato aperto alla connessione Web. Un’altra ipotesi invece è quella che che il ‘computer zero’ sia stato infettato mediante un collegamento WiFi, magari in una caffetteria e poi diffuso attraverso la rete aziendale. (agg. di Dario D’Angelo)

Matthieu “Matt” Suiche, è questo il nome dell’hacker francese e fondatore della società di sicurezza informatica Comae Technologies che ha utilizzato un “interruttore”, in gergo chiamato “Kill Switch”, per frenare la seconda ondata di attacchi del ransomware WannaCry, il virus che ha bloccato centinaia di migliaia di computer in tutto il mondo. Intervistato da Il Sole 24 Ore, l’esperto di sicurezza che in questo momento gli unici utenti a poter dormire sonni tranquilli sono quelli che montano Windows 10 come sistema operativo:”I computer che utilizzano Windows 10 sono al sicuro. Per tutti gli altri è opportuno effettuare il prima possibile gli aggiornamenti già messi a disposizione da Microsoft”. La diffusione del virus, secondo diverse ricostruzioni, è stata possibile per colpa delle informazioni messe online dal gruppo hacker Shadow Brockers, che ha reso pubbliche le falle nel sistema Microsoft scoperta dalla National Security Agency statunitense. Secondo Matt Suiche, il rischio di nuovi attacchi non è svanito:”Queste vulnerabilità potranno essere usate anche per altri scopi. Finché ci saranno aziende e utenti con sistemi non aggiornati con le nuove protezioni sarà possibile assistere a nuove ondate di attacchi”. (agg. di Dario D’Angelo)

Potrebbe esserci davvero lo zampino della Corea del Nord nella diffusione del ransomware WannaCry, il virus che ha bloccato centinaia di migliaia di computer in tutto il mondo nell’ambito dell’attacco hacker più massiccio della storia. Ne sono convinti il colosso americano Symantec (produttore dei sistemi antivirus “Norton”) e il russo, Kaspersky (anch’esso specializzati nella produzione di programma antivirus), che come riferisce La Repubblica hanno notato diversi elementi di somiglianza tra il ransomware protagonista dei recenti attacchi e quello usato tempo fa dal Lazarous Group, un’organizzazioni di pirati informatici facenti capo a Pyongyang che in passato riuscirono a derubare una banca del Bangladesh di 81 milioni di dollari. Anche in questo caso gli hacker chiedono soldi ai proprietari dei sistemi infettati, ma la sensazione di Matthew Hickey, co-fondatore della società di consulenza informatica britannica Hacker House è che stavolta non ci sia il denaro dietro il motivo dell’attacco hacker:”Credo che questo sia stato diffuso allo scopo di causare il maggior numero possibile di danni”. (agg. di Dario D’Angelo)

Continua a terrorizzare la minaccia del Wannacry, il ransomware che ha colpito diversi Paesi in questi giorni e che ha messo in ginocchio aziende e ospedali. Si tratta di un virus di tipo “backdoor” che consente agli hacker di accedere al sistema operativo dei malcapitati. Sono ancora all’opera quindi gli esperti informatici, che ora sembra stiano puntando su una pista coreana. A fare la presunta scoperta è stato Neel Metha, un celebre ricercatore di sicurezza del colosso Google, e che ha trovato una somiglianza fra il codice con cui è stato scritto il Wannacry – prima variante – e lo script che è solito usare Lazarus, un gruppo di hacker. Si tratterebbe di un gruppo noto alle autorità internazionali ed a cui in passato sono stati attribuiti diversi attacchi importanti nel mondo. Fra questi, ricorda La Stampa, c’è anche il virus che ha colpito la Sony nel 2014. Secondo diversi esperti Lazarus sarebbe inoltre di origine nordcoreana e responsabile del recente attacco alla banca del Bangladesh. Agli occhi di diversi esperti la scoperta di Metha sarebbe più di un indizio, come sottolineato da Kaspersky sul proprio blog. 

Si tirano nel frattempo le somme dei danni arrecati dal Wannacry. Secondo la prima stima dell’Europol, l’agenzia europea che collabora con l’FBI nel caso, il “paziente zero” sarebbe la Gran Bretagna. I dati indicano infatti che il Paese è stato il primo ad essere colpito lo scorso venerdì e che ha dato il via alla diffusione. Per ora i Paesi coinvolti sono 150, 200 mila secondo l’Ansa le unità ad essere state colpite globalmente. L’Europol si è espressa inoltre in modo positivo sull’assenza di nuove infezioni da Wannacry nel week end, dato che potrebbe confermare l’arresto della minaccia. Jan Op Gen Oorth, portavoce di Europol, ha infatti sottolineato che l’evento positivo è collegato al fatto che “le persone si sono attivate per fare gli aggiornamenti per la sicurezza degli apparati”. 

© RIPRODUZIONE RISERVATA

I commenti dei lettori