WannaCry e Malware: a che punto siamo?

Il peggio deve ancora venire?

Se qualcuno sta tirando un sospiro di sollievo, chi si occupa di sicurezza resta in apnea e probabilmente lo farà per molto tempo. L’attacco denominato WannaCry non è finito e possiamo essere ragionevolmente certi che nuove versioni faranno a breve la loro comparsa in Rete. Molto probabilmente non avranno alcun “interruttore magico” di spegnimento. Se questo nel breve periodo preoccupa, sono altre caratteristiche che lo rendono particolarmente inquietante. Andiamo con ordine.

Il primo elemento che balza agli occhi è la fondamentale capacità di propagarsi in modo autonomo, cosa che nei ransomware non si era ancora mai vista. Si tratta di una caratteristica tipica dei malware denominati worm, da tempo non proprio in auge presso la criminalità informatica. Di conseguenza chi si occupa di sicurezza dovrà fronteggiare una nuova genia di minacce capaci di agire con estrema rapidità e portando i loro attacchi attraverso differenti vettori: dalla posta elettronica a sistemi automatizzati che, analizzando i sistemi esposti direttamente su Internet, cercheranno vulnerabilità per inoculare direttamente il virus, senza un mediatore umano.

Un secondo aspetto, poco evidente, ma molto preoccupante è la struttura stessa del malware. Si tratta sostanzialmente di un “contenitore” che può potenzialmente ospitare diverse tipologie virali. Immaginate un missile al cui interno è possibile installare una testata nucleare, chimica o batteriologica. Allo stesso modo la fisionomia che hanno assunto l’insieme di componenti software di Wannacry è in grado di accogliere diverse forma virali. L’attacco di venerdì ha veicolato un ransomware, ma potrebbe essere usata per trasportare un più infido Keylogger, capace di registrare le digitazioni su tastiere degli utenti, oppure una bomba logica a tempo, capace di distruggere i sistemi senza possibilità di recupero se non dai backup.

Il terzo dato significativo riguarda la strategia di attacco. In effetti è facile ipotizzare che l’attacco scatenato in due riprese (24 ore prima ed esattamente alla stessa ora di quello principale) sia correlato a Wannacry. Le organizzazioni di intelligence di tutto il mondo avevano rilevato un pesante attività di spamming proveniente dalla botnet Necurs, un insieme di sistemi compromessi e asserviti ad un unico controllore. Il messaggi contenevano un altro ransomware denominato Jaff, ma la campagna di mail ingannevoli appariva piuttosto banale sia nelle modalità di esecuzione sia nei contenuti. L’idea che un gruppo criminale inizi a fare evolvere i suoi metodi di aggressione fino a prevedere anche dei diversivi non appare certo una buona notizia. Un ultimo tema, quello che veramente potrebbe portare a un’insonnia permanente, è legato al potenziale effetto distruttivo che potrebbe esprimere un attacco di questo genere se scatenato contro il mondo IoT.

L’Internet delle Cose si presenta con un grado di vulnerabilità molto elevata determinata da due fattori concomitanti: le vetustà di molti sistemi e la compatibilità retroattiva. In particolare i sistemi industriali (SCADA e ICS) hanno richiesto alle aziende investimenti massici, di conseguenza hanno un ciclo di vita molto lungo. In questo settore non è raro incappare in computer che montano sistemi operativi che risalgono alla “preistoria” dell’informatica e quindi non sono più supportati dai produttori.

Nel caso Wannacry è accaduto con Windows XP. Il prodotto di Microsoft è stato abbandonato per la maggior parte delle sue versioni nel 2014, eppure si calcola ci siano ancora oltre 100 milioni di dispositivi sui quali installato; tutti dispositivi completamente vulnerabili all’exploit risolto lo scorso marzo. Non a caso, meno di 24 ore dopo l’avvento di Wannacry, Microsoft ha rilasciato una patch straordinaria proprio per XP.

Il secondo tema è quello della compatibilità retroattiva che garantisce a chi dispone di SCADA o ICS la possibilità di integrare nuovi sistemi dotati di software più recente. In sostanza l’ultimo arrivato si adatta a quello che trova effettuando il downgrade di se stesso, che lo porta a ereditare tutte le debolezze presenti nei dispositivi più vecchi. Lo scenario di un attacco come Wannacry lanciato nel mondo IoT farebbe sembrare quello che è accaduto venerdì una piccola seccatura.

Se a finire bloccate fossero le centrali elettriche ci ritroveremmo in un nuovo Medio Evo in meno di una giornata.

Di Alessandro Curioni