La maggior parte degli attacchi informatici sono piuttosto banali; nel peggiore dei casi, l’utente visualizza una richiesta di riscatto sullo schermo, ovvero che tutto ciò che si trova sul computer è stato cifrato e può essere sbloccato solo dietro pagamento. Molte volte, però, in superficie non sembra che accada alcunché perché certi malware agiscono nell’ombra con lo scopo di rubare più dati possibile prima di essere scoperti.
Ci cono casi in cui certi attacchi sono talmente sofisticati che è impossibile che non attirino l’attenzione; questo post è dedicato proprio ai cinque attacchi informatici più famosi ed eclatanti dell’ultima decade.
WannaCry: una vera e propria epidemia
L’attacco WannaCry ha reso famosi i ransomware agli occhi di tutti, anche di coloro che non sono per nulla ferrati sull’argomento. I cybercriminali, sfruttando gli exploit del team di hacker Equation Group resi pubblici da The Shadow Brokers, hanno creato un vero e proprio mostro, un ransomware encryptor in grado di diffondersi velocemente su Internet e attraverso le reti locali.
L’epidemia Wannacry in quattro giorni ha messo KO oltre 200 mila computer in 150 paesi. Parliamo anche di infrastrutture critiche: in alcuni ospedali, WannaCry ha cifrato tutti i dispositivi, apparecchiature medicali comprese, e alcune aziende sono state costrette a bloccare la produzione. WannaCry è uno degli attacchi più recenti ad aver colpito su così vasta scala.
Per maggiori dettagli su WannaCry, potete leggere questo articolo; questi due post, invece, vi serviranno per capire la portata economica dell’epidemia. Va detto, comunque, che WannaCry è ancora in circolazione e può mettere in pericolo i computer di tutto il mondo. Se volete sapere come configurare correttamente Windows per evitare problemi, vi consigliamo di leggere questo post.
NotPetya/ExPetr: l’attacco informatico più costoso
L’epidemia più costosa non è stata comunque WannaCry, ma è stata dovuta a un altro ransomware encryptor (dal punto di vista tecnico, si tratta di un wiper, ma questo dettaglio non cambia le cose), il cui nome è ExPetr o anche NotPetya. Il principio di base era lo stesso di WannaCry: sfruttando gli exploit EternalBlue ed EternalRomance, il worm riusciva a muoversi nel Web, cifrando qualsiasi dato trovasse al suo passaggio.
Sebbene il numero totali di dispositivi infettati sia stato minore, l’epidemia NotPetya ha colpito soprattutto le aziende, e ciò è stato in parte dovuto al fatto che il vettore iniziale per la sua propagazione è stato il software MeDoc. I cybercriminali sono riusciti a prendere il controllo del server di aggiornamento di MeDoc, e molti clienti che utilizzavano questo software hanno ricevuto il malware, dalle sembianze di un aggiornamento, potendo così diffondersi facilmente attraverso la rete.
È stato calcolato che l’attacco informatico NotPetya abbia provocato danni per 10 miliardi di dollari, mentre WannaCry, si è “fermato” a un range di 4-8 miliardi di dollari. Fino ad oggi, NotPetya è l’attacco informatico che ha provocato più danni economici in assoluto. Speriamo che questo record non venga infranto nel prossimo futuro da qualche altro attacco.
In questo post troverete maggiori informazioni sull’epidemia NotPetya/ExPetr, mentre in quest’altro post sono state analizzate le perdite per le aziende. Qui, invece, potete leggere perché questa epidemia, oltre a colpire grandi aziende, può avere conseguenze non solo sui computer infetti ma su tutti gli altri in generale.
Stuxnet: una cyberpistola fumante
Probabilmente si tratta dell’attacco malware più famoso in assoluto, celebre per la sua laboriosità, versatilità e soprattutto per aver disattivato le centrifughe di arricchimento dell’uranio in Iran, rallentando di molti anni il programma nucleare del paese. Grazie a Stuxnet, si è parlato per la prima volta dell’uso di armi informatiche per colpire i sistemi industriali.
Nessun altro malware batte Stuxnet in quanto a complessità o arguzia: il worm è riuscito a diffondersi senza farsi notare grazie ai dispositivi USB, insinuandosi anche in quei computer non connessi a Internet o alla rete locale.
Il worm è andato rapidamente fuori controllo e si è diffuso in tutto il mondo, infettando centinaia di migliaia di computer. Ma, oltre a infettare questi dispositivi, lo scopo era un altro ben preciso; il worm si mostrava solo sui computer con controllori programmabili e software Siemens. Una volta in questi dispositivi, il worm riprogrammava questi controllori e, impostando la velocità di rotazione delle centrifughe di arricchimento dell’uranio a un livello troppo alto, le distruggeva fisicamente.
Si è parlato molto di Stuxnet, si è persino scritto un libro sull’argomento; tuttavia, per avere un quadro generale circa la diffusione del worm e dei dispositivi infettati, questo post dovrebbe essere sufficiente.
DarkHotel: una spia nella suite d’albergo
Non è un segreto che le reti Wi-Fi pubbliche di bar e aeroporti non siano le più sicure del mondo. Tuttavia, molti pensano che quelle degli hotel siano più protette perché, anche quando la rete dell’hotel è pubblica, per lo meno viene sempre richiesta una qualche forma di autorizzazione.
Questa idea erronea ha portato a costose conseguenze per top manager e personalità di alto rango. Quando si collegavano alla rete dell’hotel, veniva richiesto loro di installare un aggiornamento apparentemente legittimo che riguardava un software piuttosto popolare. E invece, i dispositivi venivano infettati immediatamente dallo spyware DarkHotel, appositamente introdotto nella rete dai cybercriminali qualche giorno prima dell’arrivo della personalità in questione per poi essere rimosso qualche giorno dopo. Lo spyware registrava in segreto i tasti digitati dalla vittima e tale mossa consentiva ai cybercriminali di orchestrare attacchi phishing mirati.
Qui potete avere maggiori informazioni su DarkHotel e sulle sue conseguenze.
Mirai: la caduta di Internet
Le botnet sono in circolazione da anni ormai ma, grazie alla recente ampia diffusione dell’Internet delle Cose, questo metodo di attacco sembra vivere una seconda giovinezza. Abbiamo assistito all’infezione a grande scala e improvvisa di dispositivi la cui sicurezza informatica non è mai stata contemplata e per i quali non esisteva un antivirus dedicato. Questi dispositivi rintracciavano altri dello stesso tipo da poter contagiare e così questo esercito di zombie, chiamati a raccolta dal malware Mirai (che in giapponese significa “futuro”) è diventato sempre più grande, in attesa di ricevere istruzioni.
Poi un “bel” giorno, il 21 ottobre 2016, i proprietari di questa botnet gigante hanno deciso di mettere alla prova le potenzialità di questo esercito, facendo sì che milioni di registratori video digitali, router, fotocamere IP e altri dispositivi “intelligenti” bombardassero di richieste il fornitore di servizi DNS Dyn.
Dyn non ha potuto contrastare un attacco DDoS di tale portata; il DNS e altri servizi che vi si appoggiavano non erano più disponibili, e ciò ha avuto conseguenze importanti su piattaforme online molto popolari quali PayPal, Twitter, Netflix, Spotify, Playstation e altri servizi statunitensi. Dyn alla fine è riuscita a riprendersi, ma la veloce escalation di Mirai ha portato a riflettere sull’effettiva sicurezza dei dispositivi “smart”. Un bell’avvertimento, questo è sicuro.
Per maggiori informazioni su Mirai, Dyb e l’attacco “che ha fatto cadere Internet,” vi consigliamo di leggere questo post.