Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

WannaCry: Il Ransomware che ha Cambiato il Mondo della Cybersecurity

Massimiliano Brolli : 9 Novembre 2024 10:03

Il 12 di maggio del 2017, è stata una giornata particolare.

Per molti non significherà nulla, ma altri la ricorderanno bene, perché è stata una giornata convulsa e movimentata in quanto il mondo venne catapultato nella prima infezione globale da ransomware della storia.

Infatti il 12 maggio viene ricordato come il giorno 0 di WannaCry, il malware che crittografava i contenuti all’interno di un computer chiedendone un riscatto.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. 
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
 Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. 
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Tutto comincia nella mattinata del 12 di maggio del 2017, quando Telefonica (il noto ISP spagnolo) dirama un comunicato che raccomanda ai propri clienti di spegnere i computer per via di un attacco informatico in corso.

La diffusione di wanna cry

In poche ore WannaCry inizia a mietere vittime in tutto il mondo, infatti il New York Times pubblica una mappa interattiva che mostra l’andamento dei focolari d’infezione in realtime e tutto il mondo è in allerta, inserendo nel vocabolario e nel gergo comune la parola “ransomware”, ovvero un malware che chiede un riscatto per decifrare i dati presi in ostaggio all’interno di un pc.

Ma a parte la weaponization, l’exploit Eternalblue, The Shadow Broker e Lost in Translation (cose delle quali abbiamo parlato a lungo), oggi ci concentreremo sugli aspetti più storici della massiccia infezione mondiale che causò il collasso di 230.000 computer in 150 paesi, inclusa Russia, Cina, Usa, Regno unito ed ovviamente l’Italia.

Origini del malware Wanna Cry

WannaCry colpì i sistemi Windows e a dicembre 2017, il governo degli Stati Uniti dopo una serie di indagini, considerò pubblicamente responsabile la Corea del Nord dell’attacco WannaCry, anche se la Corea ha sempre negato l’origine dell’attacco.

Tra le organizzazioni maggiormente colpite, ci furono molti ospedali del Servizio sanitario nazionale della Gran Bretagna e della Scozia con 70.000 dispositivi in ostaggio dei criminali informatici oltre a risonanze magnetiche, frigoriferi per la conservazione del sangue e attrezzature di diverso tipo.

Venne identificato come artefice di WannaCry, con un documento di 179 pagine prodotto dal dipartimento della giustizia degli Stati Uniti d America, l’allora trentaquattrenne Park Jin Hyok, responsabile anche di una serie di attacchi contro le reti di Sony Pictures Entertainment e ad altre banche in tutto il mondo, oltre ad essere stato correlato al gruppo APT Lazarus.

A Park si associa la scrittura del malware WannaCry, ma in questa storia molto ingarbugliata, dal 12 di maggio del 2107 altri eroi si sono fatti avanti per difendere il pianeta da questa grandissima pandemia informatica di massa.

MalwareTech scopre il Kill Switch del malware e ferma l’infezione

Parlo di Marcus Hutchins chiamato MalwareTech, che durante la fase acuta dell’infezione da WannaCry, stava analizzando i primi campioni del malware, quando scoprì che al suo interno, era stato creato quello che in gergo tecnico si chiama “kill switch”, una sorta di “interruttore” capace di bloccare l’infezione.

Infatti WannaCry richiamava costantemente un dominio. Se il dominio risultava non attivo, l’infezione andava avanti, ma se invece il dominio rispondeva, il ransomware bloccava la sua attività.


Kill switch presente all’interno del ransowmare WannaCry

MalwareTech non fece altro che registrare questo dominio con un investimento pari a 10 dollari dell’epoca, inizialmente pensando che in questo modo potesse capire meglio la diffusione del contagio. Ma capi presto ben presto che l’algoritmo interno di WannaCry verificava la sua presenza e in caso positivo bloccava l’infezione.


Marcus Hutchins chiamato MalwareTech

WannaCry verrà ricordato da tutti come un avvenimento “biblico” nella letteratura della sicurezza informatica, un caso mondiale, riconosciuto da tutti, una sorta ILOVEYOU più grande e tecnologicamente più avanzato e soprattutto più pervasivo.

I ransomware oggi sono una grande minaccia per ogni organizzazione piccola o grande che sia, e i nuovi ransomware non perdonano, in quanto se non paghi il riscatto, pubblicano i contenuti trafugati illegalmente con danni inimmaginabili per le organizzazioni.

Il fenomeno del ransomware in ascesa

Si tratta del fenomeno della RaaS (Ransomware As a Service), composto da criminali che sviluppano il software e affiliati che lo utilizzano per sferrare gli attacchi. Una sorta di meccanismo virtuoso che fa guadagnare molti soldi a tutti e sta creando sempre più problemi alle organizzazioni, con incidenti di rilievo e taglie mostruosamente elevate.

Quando finirà il fenomeno del Ransomware?

Fino ad oggi risulta in costante ascesa.

Sono passati 4 anni da WannaCry, ma e Il ransomware è maturato e il suo livello di minaccia è ora alla pari degli APT, poiché gli attaccanti usano strumenti migliori e imparano dagli errori del passato per mantenere persistenza all’interno delle organizzazioni.

Quindi prestiamo la massima attenzione ad un allegato presente all’interno di una mail di dubbia provenienza prima di aprirlo.

Siete tutti avvertiti!

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...