Venerdì, svariate organizzazioni tra cui ospedali e aziende di telecomunicazioni hanno dichiarato di essere cadute vittime di un ransomware, e numerosi ricercatori hanno affermato che si tratta di una campagna di attacchi su scala globale. Ad ogni modo, la piena portata degli hack, e se fossero davvero tutti connessi tra loro, non è ancora chiara."Il ransomware WanaCrypt0r 2.0 (il nuovo WCry/WannaCry) si sta diffondendo a macchia d'olio," hanno twittato i ricercatori dietro l'account Twitter MalwareHunterTeam venerdì mattina. WannaCry si comporta come un tipico pezzo di ransomware, bloccando i computer e chiedendo un riscatto in bitcoin in cambio della chiave per de-criptare i file.
Pubblicità
Ma la velocità a cui il WanaCrypt0r si è diffuso è preoccupante. In poche ore, il malware aveva già infettato vittime in 11 paesi diversi, tra cui Russia, Turchia, Germania, Vietnam e Filippine, stando a MalwareHunterTeam.Una di quelle vittime sembra essere Telefónica, una grossa azienda di telecomunicazioni, stando al giornale spagnolo El Mundo. A giudicare dal report, Telefónica ha detto ai dipendenti di spegnere i computer, e l'85 percento è stato infettato con una versione di WannaCry."Oops, i tuoi file sono stati criptati!" recita il messaggio che — a quanto pare — è comparso sulle macchine di Telefónica, stando a una foto pubblicata da El Mundo.Quel messaggio è decisamente simile a quello che sarebbe comparso sugli schermi in almeno uno degli ospedali colpiti venerdì in Inghilterra.
"Hai solo 3 giorni per inviare il pagamento. Dopodichè, il riscatto salirà al doppio. E se non paghi entro sette giorni, non potrai recuperare mai più i tuoi file," si legge sul messaggio che è stato fornito a Motherboard.Una seconda società parte del National Health Service (NHS) ha confermato a Motherboard di essere stata vittima di ciò che descrivono come un "cyber attacco.""Appena abbiamo scoperto il problema, la società ha agito per proteggere i propri sistemi IT, spegnendo tutto; il che significa che la linea telefonica della società non è in grado di accettare telefonate in arrivo," si legge nella dichiarazione delle società East and North Hertfordshire NHS. La società non ha voluto confermare l'ipotesi che l'attacco abbia implicato un ransomware, per cui l'esatto legame con gli altri attacchi resta incerto.
Pubblicità
Motherboard ha contattato diverse altre società NHS che sarebbero state colpite dal ransomware, ma non ha ricevuto risposta in tempo per la pubblicazione. Più tardi, sempre venerdì, la NHS Digital ha rilasciato una dichiarazione dicendo che 16 organizzazioni in totale sono state colpite.Venerdì, CN-CERT, il team che risponde alle emergenze informatiche in Spagna, ha pubblicato un avviso in relazione agli attacchi ransomware."Il ransomware, una versione di WannaCry, infetta la macchina criptando tutti i suoi file e, sfruttando una vulnerabilità per l'esecuzione di comandi da remoto via SMB, si redistribuisce sulle altre macchine Windows presenti sullo stesso network," si legge in una versione tradotta dell'annuncio. Il post fa riferimento a MS17-010, un aggiornamento di sicurezza per Microsoft SMB Server pubblicato da Microsoft il 14 marzo.Queste vulnerabilità fanno riferimento a exploit pubblicati da un gruppo conosciuto come The Shadow Brokers. Il gruppo, in precedenza, ha più volte caricato online strumenti di hacking rubati all'NSA.Anche se Microsoft ha pubblicato una patch per gli attacchi legati a MS17-010, sembra che gli utenti non abbiano ancora installato la patch. Infatti, un'indagine di Motherboard ha scoperto che il National Health Service inglese utilizza migliaia di computer che montano ancora il sistema operativo Windows XP.