Un attacco Ransomware su vasta scala ha colpito oggi diversi paesi in Europa e non solo. Quello che all’inizio sembrava essere un attacco circoscritto al Regno Unito, con l’attacco a 16 ospedali inglesi, in realtà si è diffuso, e sta continuando a diffondersi in altri paesi, colpendo diversi enti e aziende. Da Twitter, come riportato anche dalla BBC, si ha notizia di un attacco Ransomware anche in una università italiana. L’utente che dà notizia di questo attacco però non specifica di quale università si tratti, ma pubblica due foto che riguardano un laboratorio, da un pc si riconosce l’attacco avvenuto.

Il Ransomware è uno dei malware più pericolosi nati negli ultimi anni. I cyber criminali, una volta entrati all’interno del sistema, immediatamente bloccano tutte le attività, facendo poi comparire una finestra dove si fa una richiesta di riscatto in bitcoin, la valuta elettronica.

Al momento, oltre all’Italia, si segnalano altri attacchi in Regno Unito, Stati Uniti, Cina, Russia, Spagna, Vietnam, Taiwan e altri. Si parla di un totale di 74 paesi colpiti. Un ricercatore su Twitter riportava di aver rilevato oltre 36 mila segnalazioni di attacchi. E’ stata colpita anche Tèlefonica, l’azienda di telecomunicazioni del Portogallo.

Secondo quanto riportano i ricercatori di Checkpoint, azienda specializzata nel cyber crime, questa che sta attaccando l’Europa e altri paesi del mondo è una versione nuova, quindi ancora sconosciuta. Una situazione che rende più difficile arrivare ad una risoluzione rapida.

Alla base di tutto ci sarebbe il ransomware WanaCrypt0r 2.0 (noto anche come WannaCry o WCry), e il modus operandi è sempre il solito: file dei computer infetti criptati e richiesta di risarcimento di 300 dollari a macchina in criptovaluta Bitcoin per riottenere accesso. Gli ultimatum sono piuttosto perentori: 3 giorni o il prezzo raddoppia, e dopo 7 giorni i file andranno persi per sempre. Il virus infetta una macchina vulnerabile in una rete e, dopo aver criptato i file, inizia a replicarsi sulla rete locale attraverso SMB.

A quanto pare la vulnerabilità sfruttata riguarda il Server SMB di Windows. Nota con il nome in codice MS17-010, Microsoft l’ha corretta già due mesi fa, ma a quanto pare molte macchine non erano ancora state aggiornate. I dettagli dell’exploit sono stati diffusi dal gruppo di hacker noto come The Shadow Brokers, nome già conosciuto in relazione alla massiccia fuga di informazioni sui tool di intrusione informatica dell’NSA.