Il dodici maggio 2017 ha segnato l’inizio del più grande attacco ransomware nella storia dell’informatica, con WannaCry che si è diffuso attraverso centinaia di migliaia di computer in centocinquanta paesi in meno di settantadue ore, criptando i file delle vittime e richiedendo pagamenti in Bitcoin per il ripristino mentre paralizzava ospedali, aziende e istituzioni governative in tutto il mondo. L’attacco ha colpito con particolare violenza il Servizio Sanitario Nazionale britannico costringendo alla cancellazione di operazioni chirurgiche e al reindirizzamento di ambulanze, mentre aziende globali come Telefónica, FedEx, Renault e Deutsche Bahn vedevano i propri sistemi bloccarsi in quella che sembrava una catastrofe informatica senza precedenti. La vulnerabilità sfruttata dal malware derivava da strumenti di hacking sviluppati dalla NSA americana e successivamente rubati e pubblicati online, trasformando un’arma informatica governativa in uno strumento di distruzione disponibile a chiunque avesse le competenze per utilizzarla. WannaCry rappresentava il wake-up call definitivo sulla fragilità delle infrastrutture digitali da cui dipendeva il funzionamento della società moderna, e sulla pericolosità di accumulare vulnerabilità invece di segnalarle ai produttori per permetterne la correzione.
Il meccanismo dell’attacco e la diffusione virale
WannaCry si distingueva dai ransomware tradizionali per la sua capacità di propagarsi automaticamente attraverso le reti senza richiedere l’interazione dell’utente, sfruttando una vulnerabilità nel protocollo SMB di Windows chiamata EternalBlue che permetteva l’esecuzione di codice arbitrario su sistemi non aggiornati semplicemente inviando pacchetti di rete malformati. Una volta che un singolo computer in una rete veniva infettato, il malware scansionava automaticamente tutti gli altri dispositivi raggiungibili cercando altri sistemi vulnerabili da compromettere, creando un effetto a cascata che poteva paralizzare un’intera organizzazione in minuti. Il payload del ransomware criptava i file dell’utente utilizzando algoritmi crittografici robusti che rendevano impossibile il recupero senza la chiave di decrittazione, mentre un timer mostrava un conto alla rovescia di tre giorni dopo i quali il riscatto richiesto raddoppiava e un ulteriore periodo dopo cui i file venivano dichiarati irrecuperabili. Il pagamento richiesto di trecento dollari in Bitcoin, aumentabili a seicento dopo la scadenza iniziale, era calibrato per essere sufficientemente basso da incentivare il pagamento ma sufficientemente alto da generare profitti significativi considerando il volume delle infezioni. La combinazione di propagazione automatica e payload distruttivo creava una tempesta perfetta che si diffondeva più velocemente di quanto le organizzazioni potessero reagire, con nuove infezioni che si verificavano anche mentre i team di sicurezza cercavano di contenere quelle esistenti.
EternalBlue e le armi informatiche sfuggite al controllo
La vulnerabilità EternalBlue sfruttata da WannaCry non era stata scoperta da criminali o ricercatori di sicurezza ma dalla National Security Agency americana, che l’aveva mantenuta segreta per anni utilizzandola come strumento di spionaggio invece di segnalarla a Microsoft per permetterne la correzione. Nel marzo 2017 un gruppo di hacker chiamato Shadow Brokers aveva pubblicato online una collezione di strumenti di hacking rubati alla NSA, incluso l’exploit EternalBlue, rendendo disponibile a chiunque un’arma informatica di grado militare che poteva compromettere qualsiasi sistema Windows non aggiornato. Microsoft aveva rilasciato una patch per la vulnerabilità a marzo, ma milioni di computer rimanevano non aggiornati per negligenza, per utilizzo di versioni di Windows non più supportate come XP, o per impossibilità di aggiornare sistemi critici che non potevano permettersi interruzioni di servizio. La situazione era stata paragonata dal presidente di Microsoft Brad Smith a un furto di missili Tomahawk dall’esercito, un atto di negligenza nella custodia di armi pericolose che aveva conseguenze devastanti quando queste finivano nelle mani sbagliate. Il dibattito sulla responsabilità delle agenzie governative nell’accumulare vulnerabilità invece di segnalarle si è riacceso con forza, con critici che sostenevano che la sicurezza collettiva dovesse prevalere sulle capacità offensive di intelligence.
L’impatto sul servizio sanitario britannico
Il National Health Service britannico è stato la vittima più visibile e traumatica di WannaCry, con oltre ottanta organizzazioni sanitarie colpite che includevano ospedali, ambulatori e servizi di emergenza in tutto il paese. I sistemi informatici che gestivano le cartelle cliniche dei pazienti, le prenotazioni degli appuntamenti e le attrezzature diagnostiche sono diventati inaccessibili, costringendo il personale medico a tornare a carta e penna mentre operazioni chirurgiche venivano cancellate e pazienti venivano reindirizzati verso strutture funzionanti. Le ambulanze in alcune zone sono state deviate da ospedali incapaci di accettare nuovi pazienti, creando ritardi potenzialmente fatali nell’assistenza a persone in condizioni critiche che necessitavano cure immediate. L’NHS era particolarmente vulnerabile perché molti sistemi funzionavano ancora con Windows XP, un sistema operativo che Microsoft aveva smesso di supportare con aggiornamenti di sicurezza nel 2014, e perché i budget limitati e la complessità organizzativa avevano impedito la modernizzazione delle infrastrutture IT che esperti di sicurezza avevano ripetutamente sollecitato. L’attacco ha rivelato quanto la digitalizzazione dei servizi essenziali avesse creato dipendenze critiche spesso non accompagnate dagli investimenti necessari in sicurezza, con il costo umano potenziale che superava enormemente qualsiasi risparmio ottenuto rimandando gli aggiornamenti.
L’eroe accidentale che ha fermato l’attacco
La diffusione di WannaCry è stata fermata non da sofisticate contromisure governative o da team di sicurezza aziendali ma da un ricercatore britannico ventiduenne conosciuto online come MalwareTech che ha scoperto per caso un meccanismo di kill switch nascosto nel codice del malware. Analizzando il comportamento del ransomware, il ricercatore ha notato che il malware tentava di contattare un dominio internet con un nome apparentemente casuale prima di procedere con la criptazione, e che questo dominio non era registrato. Intuendo che potesse trattarsi di un meccanismo di sicurezza inserito dagli autori per evitare l’analisi in ambienti sandbox, ha registrato il dominio spendendo circa undici dollari, scoprendo che questa semplice azione attivava il kill switch e impediva a tutte le nuove infezioni di procedere con la criptazione. La registrazione del dominio non ha ripristinato i sistemi già compromessi né ha eliminato il malware da quelli infetti, ma ha fermato la diffusione esponenziale che stava devastando organizzazioni in tutto il mondo, trasformando quello che avrebbe potuto essere un disastro ancora più catastrofico in una crisi contenuta. L’identità di MalwareTech è stata successivamente rivelata come Marcus Hutchins, che è diventato brevemente una celebrità nel mondo della sicurezza informatica prima di affrontare problemi legali non correlati negli Stati Uniti che hanno complicato la sua immagine pubblica.
L’attribuzione alla Corea del Nord e le motivazioni
Le agenzie di intelligence di Stati Uniti, Regno Unito e altri paesi alleati hanno attribuito WannaCry al gruppo Lazarus, un’unità di hacking legata al governo nordcoreano già responsabile di altri attacchi di alto profilo incluso quello devastante contro Sony Pictures nel 2014. Le prove includevano somiglianze nel codice con altri malware attribuiti alla Corea del Nord, l’utilizzo di infrastrutture e tecniche operative già associate al gruppo, e la motivazione finanziaria coerente con la nota strategia nordcoreana di utilizzare operazioni cyber per generare valuta estera aggirando le sanzioni internazionali. Paradossalmente, nonostante l’enorme impatto dell’attacco, i guadagni finanziari sono stati modesti con circa centoquarantamila dollari raccolti nei wallet Bitcoin associati al ransomware, una cifra irrisoria rispetto ai danni causati e alle aspettative che un attacco di tale portata avrebbe potuto generare. Molte vittime non hanno pagato perché non sapevano come acquistare Bitcoin, perché esperti di sicurezza sconsigliavano il pagamento che non garantiva il recupero dei file, o perché avevano backup da cui ripristinare. L’attribuzione a un attore statale ha sollevato questioni complesse sulle possibili risposte, dato che le tradizionali misure di deterrenza e ritorsione applicabili a stati ostili risultavano difficili da implementare nel dominio cyber dove l’attribuzione restava contestabile e le conseguenze geopolitiche di rappresaglie potevano essere sproporzionate.
NotPetya e l’escalation degli attacchi ransomware
Solo un mese dopo WannaCry, un attacco ancora più sofisticato e devastante chiamato NotPetya ha colpito primariamente l’Ucraina prima di diffondersi globalmente, causando danni stimati in oltre dieci miliardi di dollari e dimostrando che WannaCry non era stato un evento isolato ma l’inizio di una nuova era di warfare informatica con conseguenze nel mondo reale. NotPetya utilizzava EternalBlue insieme ad altre tecniche di propagazione più avanzate, e a differenza di WannaCry non sembrava progettato per generare profitti ma per causare distruzione massiva, con un meccanismo di pagamento non funzionante che suggeriva che l’aspetto ransomware fosse solo una copertura. L’attacco ha paralizzato aziende globali inclusa Maersk, il più grande operatore di container shipping al mondo, costringendo la reinstallazione di quarantacinquemila PC e quattromila server in un’operazione di recupero che è durata settimane. L’attribuzione alla Russia come ritorsione contro l’Ucraina nel contesto del conflitto in corso ha trasformato la percezione degli attacchi ransomware da criminalità organizzata a strumento di guerra tra stati, con conseguenze che si estendevano ben oltre i confini dei paesi direttamente coinvolti nel conflitto geopolitico sottostante. La sequenza WannaCry-NotPetya ha dimostrato che le vulnerabilità accumulate e non corrette rappresentavano bombe a orologeria che potevano essere detonate da qualsiasi attore con accesso agli exploit, con conseguenze impossibili da prevedere o contenere una volta che l’attacco era in corso.
Le lezioni per la sicurezza informatica globale
WannaCry ha costretto organizzazioni in tutto il mondo a confrontarsi con la realtà che la sicurezza informatica non era più un problema tecnico relegato ai dipartimenti IT ma una questione di sopravvivenza organizzativa che richiedeva attenzione e investimenti a livello di leadership esecutiva. L’attacco ha rivelato quanto diffusa fosse la negligenza negli aggiornamenti di sicurezza, con milioni di sistemi vulnerabili a una patch disponibile da due mesi semplicemente perché nessuno si era preso la responsabilità di installarla o perché processi burocratici rallentavano l’implementazione di correzioni critiche. La dipendenza da software non più supportato come Windows XP, particolarmente diffuso in ambienti industriali e sanitari dove i cicli di aggiornamento erano più lenti, è emersa come problema sistemico che richiedeva investimenti significativi per essere risolto ma che non poteva più essere ignorato. Il dibattito sulla responsabilità delle agenzie governative nell’accumulare vulnerabilità invece di segnalarle ha portato a discussioni sulla necessità di un framework che bilanciasse le esigenze di intelligence con la sicurezza collettiva, anche se progressi concreti in questa direzione sono stati limitati. Per le organizzazioni, la lezione principale era che backup regolari, aggiornamenti tempestivi, segmentazione delle reti e piani di risposta agli incidenti non erano lussi ma necessità fondamentali, con il costo della prevenzione sempre inferiore a quello del recupero dopo un attacco riuscito.
