Si moltiplicano in queste ore sulla Rete le segnalazioni di una colossale ondata di attacchi hacker a mezzo ransomware, e anche se non c’è prova certa che siano collegati l’uno con l’altro è difficile pensare a una semplice coincidenza. Tra gli obiettivi più grandi e notevoli sembrano esserci Teléfonica, l’operatore di rete spagnolo, e pare 16 ospedali del Regno Unito, ma in poche ore il virus si è diffuso in totale in 11 paesi, inclusi Russia, Turchia, Germania, Vietnam e Filippine. Nel caso di Teléfonica, ben l’85 per cento di tutto il parco macchine sarebbe stato preso in ostaggio. In UK gli ospedali sono costretti a dirottare le ambulanze presso strutture non infettate.
Alla base di tutto ci sarebbe il ransomware WanaCrypt0r 2.0 (noto anche come WannaCry o WCry), e il modus operandi è sempre il solito: file dei computer infetti criptati e richiesta di risarcimento di 300 dollari a macchina in criptovaluta Bitcoin per riottenere accesso. Gli ultimatum sono piuttosto perentori: 3 giorni o il prezzo raddoppia, e dopo 7 giorni i file andranno persi per sempre. Il virus infetta una macchina vulnerabile in una rete e, dopo aver criptato i file, inizia a replicarsi sulla rete locale attraverso SMB.
A quanto pare la vulnerabilità sfruttata riguarda il Server SMB di Windows. Nota con il nome in codice MS17-010, Microsoft l’ha corretta già due mesi fa, ma a quanto pare molte macchine non erano ancora state aggiornate. I dettagli dell’exploit sono stati diffusi dal gruppo di hacker noto come The Shadow Brokers, nome già conosciuto in relazione alla massiccia fuga di informazioni sui tool di intrusione informatica dell’NSA.