La minaccia dei pirati online su fabbriche, auto e webcam: così Symantec e Kaspersky combattono gli hacker - Repubblica.it

http://www.repubblica.it/economia/affari-e-finanza/2017/05/22/news/la_minaccia_dei_pirati_online_su_fabbriche_auto_e_webcam_cos_symantec_e_kaspersky_combattono_gli_hacker-166161441/

La minaccia dei pirati online su fabbriche, auto e webcam: così Symantec e Kaspersky combattono gli hacker

In campo anche Mcafee e Avast: sono quattro le principali aziende globali che cercano di arginare i danni di Wannacry, l'ultimo di una serie ininterrotta di "bachi" che devastano i computer con danni economici enormi. L'industria della sicurezza vale 22 miliardi di dollari a livello globale

GIULIANO ALUFFI

Con oltre 300.000 computer colpiti in pochi giorni in 150 nazioni, il virus WannaCry sta tenendo in ostaggio i documenti necessari a decine di migliaia di aziende, anche di particolare rilievo sociale come gli ospedali, che da venerdì 12 maggio hanno iniziato a veder comparire sui loro monitor la schermata rossa con il beffardo messaggio estorsivo "Ooops, i tuoi file sono stati crittati!" e una verbosa - e blandamente rassicurante - spiegazione sul modo di pagare il riscatto di 300 dollari. In un linguaggio che dà a noi tutti vittime del ricatto l'idea di essere, in fondo, dei normali clienti di un nuovo tipo di transazione economica. 

Sì, perché oggi il ransomware è un vero e proprio business model, seppur illegale. Che genera tutto un suo indotto "contrario", non solo nell'industria della sicurezza (che a livello mondiale, secondo Gartner, supera i 22 miliardi di dollari) ma anche in quella assicurativa: stanno iniziando ad apparire polizze che includono anche la copertura per attacchi ransomware - la prima è quella offerta dal broker assicurativo Marsh - con rimborso del prezzo dell'estorsione, e copertura sia dei costi di un consulente esperto in estorsioni informatiche che dei mancati guadagni dovuti all'interruzione forzata dell'attività.

Benvenuto Ransomware
Il ransomware è oggi la nuova anima - nera - del commercio già prima ancora di chiedere il riscatto alla vittima, perché è oggetto di mercato tra

hacker: "L'8 gennaio di quest'anno un gruppo di hacker chiamato Shadow Brokers ha annunciato di avere un tool per sfruttare la vulnerabilità di Windows che oggi WannaCry sta usando, e lo ha messo all'asta, ma nessuno l'ha comprato" spiega Candid Wüest, esperto di sicurezza di Symantec: "Ma poi il 14 aprile gli Shadow Brokers l'hanno rilasciato gratuitamente, così chiunque poteva improvvisarsi hacker. In realtà Microsoft già da un mese, in marzo, aveva rilasciato la patch che sanava il problema: ma - come risulta evidente oggi - troppo pochi l'avevano installata. Il 10 maggio abbiamo visto il codice di questo exploit ripulito e pronto per l'uso caricato su una piattaforma di condivisione dei codici "maligni", exploit-db.com.

I codici
È lo stesso codice usato per Wanna-Cry. I criminali non sembrano molto sofisticati, perché hanno solo incluso questo codice nel loro. Insieme a due inusuali segmenti di codice che abbiamo visto usati già in due occasioni da un gruppo di hacker chiamato Lazarus, forse legato alla Corea del Nord. Un secondo inizio è che a marzo avevamo notato una dozzina di computer infettati prima da un tool di Lazarus e subito dopo dalla prima versione di WannaCry. Però sono solo indizi, non prove".

La cosa più interessante di Wanna-Cry, che in qualche misura dà un aiuto ai "virus-baster" che in tutto il mondo cercano di difendere i nostro computer, è che si diffonde come un worm: "È una tecnica nuova per la diffusione dei ransomware: per ora l'abbiamo vista solo in un altro caso recente, il virus "Spora", a diffusione molto più ridotta", spiega Jakub Kroustek, capo del Threat Lab Team Lead di Avast. "Sono oltre 300 i "ceppi" di ransomware che abbiamo osservato negli ultimi due anni: questo tipo di minaccia oggi è il pericolo pubblico numero 1 per la sicurezza informatica".

Come si spiega l'incredibile rapidità di contagio di WannaCry? "Innanzitutto grazie all'inclusione di un codice che permette alla minaccia di diffondersi nelle reti aziendali come un worm, quindi senza bisogno che gli utenti connessi a una rete locale debbano compiere azioni come aprire un allegato o cliccare su un link. Perché il worm si replica inviando "pacchetti" in remoto che sfruttano il servizio Server Message Block (Smb) usato dai computer con Windows per condividere file e stampanti nelle reti locali", spiega Joe Levy, Chief Technical Officer di Sophos. "Microsoft ha rilasciato una patch a marzo, ma evidentemente molte organizzazioni non l'hanno installata.

Aggiornare dei sistemi operativi è la prima linea contro gli attacchi informatici, ma molte aziende sono ancora sorde a questa lezione. Infine c'è il fatto che c'è ancora chi usa Windows XP, anche se sono tre anni che Microsoft non lo supporta - e protegge - più". Lasciate ogni speranza o voi che non aggiornate, insomma. "Anche perché il software si sta mangiando il mondo, e ogni azienda dovrebbe diventare un'azienda del software, come scrisse il venture capitalist e "papà dei browser" Marc Andreessen nel 2011 sul Wall Street Journal ", aggiunge Mark Nunnikhoven, vicepresidente del Cloud per Trend Micro. "Mondo digitale e mondo fisico sono sempre più integrati: la nostra ricerca ci mostra sempre più sistemi progettati per un ambiente specifico che nella nuova realtà interconnessa si trovano ad essere nudi e indifesi. A febbraio, tramite il motore di ricerca Shodan, che mostra i dispositivi connessi a Internet, magari all'insaputa dei proprietari per via di una configurazione frettolosa, abbiamo trovato webcam, server, stampanti, database e robot industriali facilmente attaccabili".

Il ruolo dei sistemisti.
Nel caso di WannaCry, sistemisti e amministratori del Belpaese si sono mostrati più previdenti - o magari anche solo più fortunati - dei loro colleghi esteri: "Di norma, l'Italia è tra le 10 nazioni più prese di mira dai ransomware. Ma questa volta è stata colpita meno di altri: è solo il 26esimo Paese per numero di infezioni di WannaCry, nelle nostre statistiche" spiega Kroustek. Non è il caso di dormire sugli allori, perché la minaccia ransomware è e sarà sempre più ubiqua: "Negli ultimi due anni abbiamo già visto diverse componenti dell'Internet of Things, come automobili, porte e termostati, bloccate da ransomware", dice Sergey Lozhkin, Senior Security Research Expert per Kaspersky, che domina il mercato italiano antivirus con 48,3% del fatturato, seguito da Symantec (28,6%), Eset (14.3%) e McAfee (6%) (dati GFK). "Niente paura: finora si è trattato solo di esperimenti condotti da ricercatori nel campo della sicurezza per ridurre la vulnerabilità dei prodotti. Ma è possibile che in futuro vedremo veri e propri attacchi hacker".

Il rapporto
Il report 2017 "Cyber threats: a perfect storm about to hit Europe?" pubblicato da FireEye e Marsh indica che hacker - e governi ostili - prendono sempre più di mira i sistemi di controllo industriali: reti elettriche, impianti chimici, aeroporti, reti di trasporto, network finanziari e perfino impianti nucleari. I Paesi europei più attaccati del 2016 sono stati Germania (19% degli attacchi), Belgio (16%), Gran Bretagna (12%), Spagna (12%) e Italia (7%). E purtroppo le imprese europee impiegano in media ben 469 giorni prima di accorgersi che i loro sistemi sono compromessi, mentre la media mondiale è di 146 giorni.

Lavoro continuo.
Ecco perché i responsabili della sicurezza aziendale devono rimanere vigili, e collaborare di più con i colossi dell'antivirus e le forze dell'ordine nel rilevare nuove minacce: "Sulla sicurezza informatica non si scherza: noi esperti delle task force dei antivirus cooperiamo tra noi e con Europol non solo a livello di scambio di informazioni, ma anche con iniziative pubbliche come NoMoreRansom.org , sito che offre informazioni e tool per difendersi dai ricatti digitali" spiega Raj Samani, Chief Scientist del team di Strategic Intelligence di McAfee. "E lavoriamo 24 ore su 24. La domenica del weekend di fuoco di WannaCry stavo pranzando con mia figlia, e in quell'ora di pausa mi sono arrivati - li ho contati - 400 messaggi sul cellulare. Mentre mia figlia non aveva ricevuto alcun SMS. Mia figlia mi invidiava e sognava a occhi aperti di ricevere lei 400 messaggi, io invece di riceverne zero".

La vigilanza non è mai troppa anche perché non sono soltanto Microsoft e i colossi dell'antivirus a rilasciare aggiornamenti, ma anche - paradossalmente - gli stessi hacker. Con esiti che, però, uniscono la serietà della pianificazione aziendale alla goffaggine dell'Audace colpo dei soliti ignoti: "La prima versione di WannaCry falliva, per un errore nel codice, nel generare un indirizzo bitcoin per ogni macchina infettata, cosa che avrebbe permesso agli hacker di distinguere gli utenti che hanno pagato dagli altri e quindi decrittare solo loro" spiega Candid Wüest: "Si sono generati soltanto tre account Bitcoin di riserva, su cui ora giacciono 84.100 dollari frutto di soli 280 pagamenti. WannaCry incorporava un "pulsante di autodistruzione" - la chiamata a un sito Web inesistente - che avrebbe permesso agli hacker di abortire la versione difettosa per lanciare una variante corretta".

Anche i criminali, insomma, diffondono le "patch" per i propri software maligni. Ma un ragazzo inglese, scoperto questo tallone d'Achillle, ha registrato il dominio in questione, arrestando l'epidemia quando ormai erano scattate le difese anche contro le possibili varianti. E chi è stato colpito? "È inutile pagare il riscatto" conclude Wuest. "Proprio per il loro errore, gli hacker non hanno modo di identificare i computer dei paganti per decrittarli". Ecco perché, alla fine, sia a loro che alle loro vittime resta una gran voglia di piangere.