Un ransomware made in Italy? Tra aprile e maggio, un po’ prima che venisse liberato sul mondo WannaCry, il peggior virus informatico che abbia colpito internet, è stato scoperto un malware che viaggiava in allegato a un paio di email. Queste email erano scritte in un buon italiano, senza gli errori palesi tipici della maggior parte delle email di spam o di phishing che riceviamo. Anzi, contenevano dati coerenti: il nome del mittente tornava sia nell’indirizzo che come firma della mail, in più i destinatari erano palusibili: account di pubbliche amministrazioni hanno ricevuto messaggi inviperiti per ottenere un rimborso, per esempio. In allegato alla mail c’era un file Word che una volta aperto caricava una macro che scaricava il ransomware e metteva sotto chiave i file del malcapitato di turno.
Due aziende informatiche italiane, Tg Soft e Dr. Marc, hanno studiato queste email, il ransomware che veicolavano e la struttura che stava dietro a questo tentativo di ricatto. Trovando diversi indizi che danno corpo alla tesi del ricatto italiano: seguendo le istruzioni sulla schermata del ransomware si arrivava a un pannello di controllo scritto in italiano. Da lì uno dei tecnici delle società è riuscito a trovare sia il software necessario per decrittare i file, che altri dati che corroborano la pista italiana.
La cosa più strana è che questo attacco è iniziato a fine aprile ed è durato fino a poco prima l’arrivo di WannaCry: troppo poco tempo perché i pirati potessero guadagnare davvero qualcosa, per quanto il riscatto da pagare equivalesse a 1 bitcoin (all’epoca, circa 1600€). Resta la domanda su che cosa li abbia spinti a chiudere l’operazione con tanta fretta.