L’attacco di ransomware di WannaCry è stato un cyberattack in tutto il mondo da parte di WannaCry, un ransomware cryptoworm, che ha indirizzato i computer che eseguono il sistema operativo Microsoft Windows crittografando i dati e richiedendo pagamenti di riscatto tramite Bitcoin.
Stando a quanto descritto da Anch’io PC, l’attacco è iniziato il venerdì 12 maggio 2017 e, entro un giorno, è stato ritenuto responsabile di aver infettato più di 230.000 computer in oltre 150 paesi. Parti del servizio sanitario nazionale della Gran Bretagna (NHS), della Telefónica, della FedEx e della Deutsche Bahn della Spagna sono stati colpiti, insieme a molti altri paesi e società in tutto il mondo. Poco dopo l’inizio dell’attacco, un ricercatore di sicurezza web che gestisce il blog MalwareTech ha scoperto un efficace kill switch registrando un nome di dominio trovato nel codice del ransomware. Questo ha rallentato notevolmente la diffusione dell’infezione, fermando efficacemente l’epidemia iniziale il lunedì 15 maggio 2017, ma sono state riscontrate nuove versioni che non dispongono dell’interruttore di morte. I ricercatori hanno anche trovato modi per recuperare i dati dalle macchine infette in alcune circostanze.
WannaCry si propaga utilizzando EternalBlue, sfruttabile del protocollo SMB (Server Message Block) di Windows. Gran parte dell’attenzione e del commento attorno all’evento è stato causato dal fatto che l’Agenzia Nazionale di Sicurezza degli Stati Uniti (NSA) aveva scoperto la vulnerabilità in passato, ma lo usò per creare uno strumento per il suo lavoro offensivo piuttosto che riferire a Microsoft. Solo quando l’esistenza di questa vulnerabilità è stata rivelata da The Shadow Brokers che Microsoft è venuto a conoscenza del problema e ha emesso una patch di sicurezza “critica” il 14 marzo 2017 per rimuovere la vulnerabilità sottostante nelle versioni supportate di Windows. Ma molte organizzazioni non lo avevano ancora applicato.
Quelle che ancora eseguono vecchie versioni non supportate di Microsoft Windows, come Windows XP e Windows Server 2003, sono state inizialmente a rischio, ma Microsoft ha anche rilasciato una patch di emergenza per queste piattaforme. Quasi tutte le vittime del cyberattack erano in esecuzione su Windows 7, chiedendo a un ricercatore di sicurezza di sostenere che i suoi effetti sugli utenti di Windows XP erano “insignificanti” in confronto.