Il dodici maggio 2017 ha segnato l’inizio del pi\u00f9 grande attacco ransomware nella storia dell’informatica, con WannaCry che si \u00e8 diffuso attraverso centinaia di migliaia di computer in centocinquanta paesi in meno di settantadue ore, criptando i file delle vittime e richiedendo pagamenti in Bitcoin per il ripristino mentre paralizzava ospedali, aziende e istituzioni governative in tutto il mondo. L’attacco ha colpito con particolare violenza il Servizio Sanitario Nazionale britannico costringendo alla cancellazione di operazioni chirurgiche e al reindirizzamento di ambulanze, mentre aziende globali come Telef\u00f3nica, FedEx, Renault e Deutsche Bahn vedevano i propri sistemi bloccarsi in quella che sembrava una catastrofe informatica senza precedenti. La vulnerabilit\u00e0 sfruttata dal malware derivava da strumenti di hacking sviluppati dalla NSA americana e successivamente rubati e pubblicati online, trasformando un’arma informatica governativa in uno strumento di distruzione disponibile a chiunque avesse le competenze per utilizzarla. WannaCry rappresentava il wake-up call definitivo sulla fragilit\u00e0 delle infrastrutture digitali da cui dipendeva il funzionamento della societ\u00e0 moderna, e sulla pericolosit\u00e0 di accumulare vulnerabilit\u00e0 invece di segnalarle ai produttori per permetterne la correzione.<\/p>\n
WannaCry si distingueva dai ransomware tradizionali per la sua capacit\u00e0 di propagarsi automaticamente attraverso le reti senza richiedere l’interazione dell’utente, sfruttando una vulnerabilit\u00e0 nel protocollo SMB di Windows chiamata EternalBlue che permetteva l’esecuzione di codice arbitrario su sistemi non aggiornati semplicemente inviando pacchetti di rete malformati. Una volta che un singolo computer in una rete veniva infettato, il malware scansionava automaticamente tutti gli altri dispositivi raggiungibili cercando altri sistemi vulnerabili da compromettere, creando un effetto a cascata che poteva paralizzare un’intera organizzazione in minuti. Il payload del ransomware criptava i file dell’utente utilizzando algoritmi crittografici robusti che rendevano impossibile il recupero senza la chiave di decrittazione, mentre un timer mostrava un conto alla rovescia di tre giorni dopo i quali il riscatto richiesto raddoppiava e un ulteriore periodo dopo cui i file venivano dichiarati irrecuperabili. Il pagamento richiesto di trecento dollari in Bitcoin, aumentabili a seicento dopo la scadenza iniziale, era calibrato per essere sufficientemente basso da incentivare il pagamento ma sufficientemente alto da generare profitti significativi considerando il volume delle infezioni. La combinazione di propagazione automatica e payload distruttivo creava una tempesta perfetta che si diffondeva pi\u00f9 velocemente di quanto le organizzazioni potessero reagire, con nuove infezioni che si verificavano anche mentre i team di sicurezza cercavano di contenere quelle esistenti.<\/p>\n
La vulnerabilit\u00e0 EternalBlue sfruttata da WannaCry non era stata scoperta da criminali o ricercatori di sicurezza ma dalla National Security Agency americana, che l’aveva mantenuta segreta per anni utilizzandola come strumento di spionaggio invece di segnalarla a Microsoft per permetterne la correzione. Nel marzo 2017 un gruppo di hacker chiamato Shadow Brokers aveva pubblicato online una collezione di strumenti di hacking rubati alla NSA, incluso l’exploit EternalBlue, rendendo disponibile a chiunque un’arma informatica di grado militare che poteva compromettere qualsiasi sistema Windows non aggiornato. Microsoft aveva rilasciato una patch per la vulnerabilit\u00e0 a marzo, ma milioni di computer rimanevano non aggiornati per negligenza, per utilizzo di versioni di Windows non pi\u00f9 supportate come XP, o per impossibilit\u00e0 di aggiornare sistemi critici che non potevano permettersi interruzioni di servizio. La situazione era stata paragonata dal presidente di Microsoft Brad Smith a un furto di missili Tomahawk dall’esercito, un atto di negligenza nella custodia di armi pericolose che aveva conseguenze devastanti quando queste finivano nelle mani sbagliate. Il dibattito sulla responsabilit\u00e0 delle agenzie governative nell’accumulare vulnerabilit\u00e0 invece di segnalarle si \u00e8 riacceso con forza, con critici che sostenevano che la sicurezza collettiva dovesse prevalere sulle capacit\u00e0 offensive di intelligence.<\/p>\n
Il National Health Service britannico \u00e8 stato la vittima pi\u00f9 visibile e traumatica di WannaCry, con oltre ottanta organizzazioni sanitarie colpite che includevano ospedali, ambulatori e servizi di emergenza in tutto il paese. I sistemi informatici che gestivano le cartelle cliniche dei pazienti, le prenotazioni degli appuntamenti e le attrezzature diagnostiche sono diventati inaccessibili, costringendo il personale medico a tornare a carta e penna mentre operazioni chirurgiche venivano cancellate e pazienti venivano reindirizzati verso strutture funzionanti. Le ambulanze in alcune zone sono state deviate da ospedali incapaci di accettare nuovi pazienti, creando ritardi potenzialmente fatali nell’assistenza a persone in condizioni critiche che necessitavano cure immediate. L’NHS era particolarmente vulnerabile perch\u00e9 molti sistemi funzionavano ancora con Windows XP, un sistema operativo che Microsoft aveva smesso di supportare con aggiornamenti di sicurezza nel 2014, e perch\u00e9 i budget limitati e la complessit\u00e0 organizzativa avevano impedito la modernizzazione delle infrastrutture IT che esperti di sicurezza avevano ripetutamente sollecitato. L’attacco ha rivelato quanto la digitalizzazione dei servizi essenziali avesse creato dipendenze critiche spesso non accompagnate dagli investimenti necessari in sicurezza, con il costo umano potenziale che superava enormemente qualsiasi risparmio ottenuto rimandando gli aggiornamenti.<\/p>\n
La diffusione di WannaCry \u00e8 stata fermata non da sofisticate contromisure governative o da team di sicurezza aziendali ma da un ricercatore britannico ventiduenne conosciuto online come MalwareTech che ha scoperto per caso un meccanismo di kill switch nascosto nel codice del malware. Analizzando il comportamento del ransomware, il ricercatore ha notato che il malware tentava di contattare un dominio internet con un nome apparentemente casuale prima di procedere con la criptazione, e che questo dominio non era registrato. Intuendo che potesse trattarsi di un meccanismo di sicurezza inserito dagli autori per evitare l’analisi in ambienti sandbox, ha registrato il dominio spendendo circa undici dollari, scoprendo che questa semplice azione attivava il kill switch e impediva a tutte le nuove infezioni di procedere con la criptazione. La registrazione del dominio non ha ripristinato i sistemi gi\u00e0 compromessi n\u00e9 ha eliminato il malware da quelli infetti, ma ha fermato la diffusione esponenziale che stava devastando organizzazioni in tutto il mondo, trasformando quello che avrebbe potuto essere un disastro ancora pi\u00f9 catastrofico in una crisi contenuta. L’identit\u00e0 di MalwareTech \u00e8 stata successivamente rivelata come Marcus Hutchins, che \u00e8 diventato brevemente una celebrit\u00e0 nel mondo della sicurezza informatica prima di affrontare problemi legali non correlati negli Stati Uniti che hanno complicato la sua immagine pubblica.<\/p>\n
Le agenzie di intelligence di Stati Uniti, Regno Unito e altri paesi alleati hanno attribuito WannaCry al gruppo Lazarus, un’unit\u00e0 di hacking legata al governo nordcoreano gi\u00e0 responsabile di altri attacchi di alto profilo incluso quello devastante contro Sony Pictures nel 2014. Le prove includevano somiglianze nel codice con altri malware attribuiti alla Corea del Nord, l’utilizzo di infrastrutture e tecniche operative gi\u00e0 associate al gruppo, e la motivazione finanziaria coerente con la nota strategia nordcoreana di utilizzare operazioni cyber per generare valuta estera aggirando le sanzioni internazionali. Paradossalmente, nonostante l’enorme impatto dell’attacco, i guadagni finanziari sono stati modesti con circa centoquarantamila dollari raccolti nei wallet Bitcoin associati al ransomware, una cifra irrisoria rispetto ai danni causati e alle aspettative che un attacco di tale portata avrebbe potuto generare. Molte vittime non hanno pagato perch\u00e9 non sapevano come acquistare Bitcoin, perch\u00e9 esperti di sicurezza sconsigliavano il pagamento che non garantiva il recupero dei file, o perch\u00e9 avevano backup da cui ripristinare. L’attribuzione a un attore statale ha sollevato questioni complesse sulle possibili risposte, dato che le tradizionali misure di deterrenza e ritorsione applicabili a stati ostili risultavano difficili da implementare nel dominio cyber dove l’attribuzione restava contestabile e le conseguenze geopolitiche di rappresaglie potevano essere sproporzionate.<\/p>\n
Solo un mese dopo WannaCry, un attacco ancora pi\u00f9 sofisticato e devastante chiamato NotPetya ha colpito primariamente l’Ucraina prima di diffondersi globalmente, causando danni stimati in oltre dieci miliardi di dollari e dimostrando che WannaCry non era stato un evento isolato ma l’inizio di una nuova era di warfare informatica con conseguenze nel mondo reale. NotPetya utilizzava EternalBlue insieme ad altre tecniche di propagazione pi\u00f9 avanzate, e a differenza di WannaCry non sembrava progettato per generare profitti ma per causare distruzione massiva, con un meccanismo di pagamento non funzionante che suggeriva che l’aspetto ransomware fosse solo una copertura. L’attacco ha paralizzato aziende globali inclusa Maersk, il pi\u00f9 grande operatore di container shipping al mondo, costringendo la reinstallazione di quarantacinquemila PC e quattromila server in un’operazione di recupero che \u00e8 durata settimane. L’attribuzione alla Russia come ritorsione contro l’Ucraina nel contesto del conflitto in corso ha trasformato la percezione degli attacchi ransomware da criminalit\u00e0 organizzata a strumento di guerra tra stati, con conseguenze che si estendevano ben oltre i confini dei paesi direttamente coinvolti nel conflitto geopolitico sottostante. La sequenza WannaCry-NotPetya ha dimostrato che le vulnerabilit\u00e0 accumulate e non corrette rappresentavano bombe a orologeria che potevano essere detonate da qualsiasi attore con accesso agli exploit, con conseguenze impossibili da prevedere o contenere una volta che l’attacco era in corso.<\/p>\n
WannaCry ha costretto organizzazioni in tutto il mondo a confrontarsi con la realt\u00e0 che la sicurezza informatica non era pi\u00f9 un problema tecnico relegato ai dipartimenti IT ma una questione di sopravvivenza organizzativa che richiedeva attenzione e investimenti a livello di leadership esecutiva. L’attacco ha rivelato quanto diffusa fosse la negligenza negli aggiornamenti di sicurezza, con milioni di sistemi vulnerabili a una patch disponibile da due mesi semplicemente perch\u00e9 nessuno si era preso la responsabilit\u00e0 di installarla o perch\u00e9 processi burocratici rallentavano l’implementazione di correzioni critiche. La dipendenza da software non pi\u00f9 supportato come Windows XP, particolarmente diffuso in ambienti industriali e sanitari dove i cicli di aggiornamento erano pi\u00f9 lenti, \u00e8 emersa come problema sistemico che richiedeva investimenti significativi per essere risolto ma che non poteva pi\u00f9 essere ignorato. Il dibattito sulla responsabilit\u00e0 delle agenzie governative nell’accumulare vulnerabilit\u00e0 invece di segnalarle ha portato a discussioni sulla necessit\u00e0 di un framework che bilanciasse le esigenze di intelligence con la sicurezza collettiva, anche se progressi concreti in questa direzione sono stati limitati. Per le organizzazioni, la lezione principale era che backup regolari, aggiornamenti tempestivi, segmentazione delle reti e piani di risposta agli incidenti non erano lussi ma necessit\u00e0 fondamentali, con il costo della prevenzione sempre inferiore a quello del recupero dopo un attacco riuscito.<\/p>\n
<\/p>\n