O per meglio dire: come continua la storia del più grande attacco informatico conosciuto all’uomo, dopo la prima ondata dello scorso finesettimana? Mentre in più di 150 paesi al mondo si stanno ancora valutando i danni reali causati da questo ransomware, gli esperti di sicurezza informatica cercano di capire origini, portata e peculiarità di WannaCry. L’obiettivo è da un lato risolvere i problemi causati da questo attacco, dall’altro prevenire futuri casi simili.
Che cos’è WannaCry
Iniziamo dalle basi: WannaCry è il nome dato al virus ransomware che ha attaccato più di 200mila computer in oltre 150 paesi del mondo durante lo scorso finesettimana. Sfrutta una falla di Windows che è stata messa in sicureza lo scorso marzo, ma evidentemente ancora tanti computer non avevano eseguito l’aggiornamento. Peraltro il ransomware può attaccare anche gli utenti Linux se è stato installato Wine – un software open source che permette l’esecuzione di programmi Windows in ambienti Unix.
Chi ha creato WannaCry
Non si sa di preciso chi ci sia dietro questo attacco, anche se è certo che il ransomware sfrutta una falla di sicurezza presente in praticamente tutti i sistemi operativi di Microsoft. Questa falla è stata trovata per la prima volta dall’NSA, un’agenzia governativa per la sicurezza degli Stati Uniti. Per anni l’NSA ha utilizzato questa falla per i propri programmi di spionaggio, ma qualche mese fa la cosa è diventata di dominio pubblico quando un gruppo di hacker ha reso pubblico questo exploit e la responsabilità dell’NSA. Il 14 maggio Microsoft – per mano del suo presidente e Chief Legal Officer Brad Smith – ha pubblicato un’accusa piuttosto dura nei confronti dell’agenzia governativa.
E la Corea del Nord?
Il codice di WannaCry assomiglierebbe parecchio al codice di alcuni programmi utilizzati dal Lazarus Group, degli hacker nordcoreani che nel 2014 eseguirono l’attacco contro Sony Pictures e l’anno scorso contro una banca bangladese. Di per sé non è una prova, perché le somiglianze potrebbero essere intenzionali, create ad hoc per seminare falsi indizi: ma le parti simili sarebbero state rimosse dalle versioni di WannaCry che sono state rilasciate negli ultimi giorni, il che porterebbe a pensare che la somiglianza sia indice di qualche collegamento.
Come fare per difendersi
Come abbiamo detto più di una volta, i ransomware sono particolarmente insidiosi perché una volta che l’attacco è scattato e i vostri dati sono stati criptati la chiave per decrittarli è in mano agli hacker. Con un tempo sufficientemente lungo a disposizione si riuscirebbe a decifrare di nuovo i nostri dati, ma a seconda del tipo di crittografia utilizzata potrebbero essere necessarie decine di anni.
La cosa migliore è essere preparati al disastro, perché tanto qualcosa dovrà accadere: che sia un ransomware oppure il disco rigido che si rompe. Unire un backup regolare a un antivirus aggiornato e a sane abitudini sul web (mai aprire link sospetti nemmeno se vengono da contatti certi, diffidare sempre di allegati in formato zip) può fare moltissimo. Come diceva quella pubblicità: prevenire è meglio che curare.