Quando si parla di malware, si pensa a WannaCry o a PetYa, che hanno causato gravi problemi in tutto il mondo. Soprattutto ai settori della sanità e dello shipping. Ma anche in un passato non proprio recente ci sono state cyber aggressioni con codici malevoli, che hanno determinato ingenti danni.
Forse più elevati di quelli di oggi. Alcune sono state usate per azioni di cyberwarfare e altre dal cybercrime. Quali sono quelle più note? come sono avvenute e cosa hanno prodotto? Difesa & Sicurezza ne ha analizzate 10, che pensiamo siano le più simboliche a livello globale per motivi diversi.
Nel 1999 viene rilevato il primo malware: il virus Melissa
Il primo uso distruttivo di un malware avvenne nel 1999 con Melissa. Il virus simulava un documento, chiamato LIST.DOC, in cui erano contenute password per siti pornografici. Il nome deriva da quello di una spogliarellista che l’autore del codice David L. Smith (alias Kwyjibo) conosceva a Miami. Grazie a ciò che prometteva l’allegato, il virus si propagò in pochissimo tempo. Tanto che Microsoft fu costretta a sospendere temporaneamente i servizi di posta elettronica per contenerne la diffusione di Melissa. Aprendo il file, infatti, la macro inviava immediatamente il malware alle email delle prime 50 persone della rubrica della vittima. In tutto, Melissa fu responsabile di danni per 1,1 miliardi di dollari. Smith fu arrestato e condannato a 10 anni di carcere, ma presto uscì in quanto cominciò ad aiutare l’FBI nella caccia ad altri creatori di codici malevoli.
Nel 2003 è la volta del worm SQL Slammer
Pochi anni dopo Melissa, nel 2003, fu la volta di SQL Slammer (alias W32.SQLExp.Worm). Il malware, sfruttando una vulnerabilità dei prodotti Microsoft legati a Desktop Engine e SQL Server che molti utenti non avevano patchato, nei primi dieci minuti dalla sua diffusione infettò 75.000 server. Il worm, grazie ad attacchi DDoS (distributed denial-of-service) riuscì persino a rallentare internet in tutto il mondo per 15 minuti. Tanto che si guadagnò il soprannome di “Warhol worm”. I danni, però, che causò furono incredibili. Si parla di 1 miliardo di dollari sono negli Usa. Inoltre, creò molti problemi a servizi strategici come i trasporti aerei e il numero di emergenza 911, interferendo con le chiamate.
Mydoom nel 2004 causa danni per 38,5 miliardi di dollari
Solo un anno dopo SQL Slammer, nel 2004, arrivò Mydoom (alias Shimgapi). Il malware si guadagnò il primato di worm con la più veloce diffusione della storia, spodestando ILOVEYOU e Anna Kournikova. L’esca erano messaggi di “Error” o “Mail Delivery System” nei titoli delle mail, per invogliare i bersagli ad aprire i messaggi. Secondo diversi cyber analisti ha infettato dal 16 al 25% di tutti gli account di posta elettronica a livello mondiale. Il risultato fu che le vittime vedevano programmi e funzioni aprirsi all’improvviso, il che permisero a soggetti terzi di avere accesso e controllare le loro macchine. Sembra che i danni abbiano ottenuto lo stesso primato della velocità di propagazione. Sono stati pari a 38,5 miliardi.
Zeus nel 2007 è la prima, e forse più grande, botnet della storia
Nel 2007 apparve la prima –e forse più grande – botnet della storia. Si chiamava Zeus (anche Zbots) e fu rilevata mentre cercava di rubare dati dal dipartimento dei Trasporti Usa. Due anni dopo il trojan compromise 74.000 account FTP aziendali. Il suo unico obiettivo era sottrarre credenziali per i social network, gli account bancari e quelli di posta elettronica. Secondo le stime, sono stati infettati oltre 1 milione di computer in 196 nazioni, grazie ai quali un gruppo di cyber criminali (con quartier generale in Europa Orientale) hanno rubato oltre 70 milioni di dollari. Il suo creatore, l’hacker algerino Hamza Bendelladj, nel 2016 è stato condannato a 15 anni di carcere.
Dalla Cina arriva l’Operazione Aurora, un maxi attacco alle aziende IT Usa
Nel 2009 dalla Cina arrivò l’Operazione Aurora. Fu un massiccio cyber attacco, allo scopo di rubare informazioni aziendali. Tramite un malware, che sfruttava una vulnerabilità di Internet Explorer, gli hacker aprirono backdoor sui computer delle più grandi aziende IT degli Usa. Da Google ad Adobe, passando per Yahoo. Si stima che le vittime dell’aggressione cibernetica sono state dalle 20 alle 34, ma non sono stati forniti dai ufficiali sui danni che questa ha prodotto. Di fatto, però, l’azione ha aperto un incidente diplomatico tra Washington e Pechino. L’allora segretario di Stato americano, Hillary Clinton, disse pubblicamente commentando l’accaduto che “i paesi coinvolti in cyber attacchi dovrebbero subire conseguenze e la condanna internazionale”.
L’Iran subisce nel 2010 gli effetti di Stuxnet: “la prima arma digitale di importanza geopolitica” nella cyberwarfare
Nel 2010 un malware fu usato per la prima volta per un’azione di cyberwarfare. Si chiamava Stuxnet e fu inoculato attraverso una chiavetta USB in una serie di computer, che controllavano le centrifughe in una centrale nucleare in Iran. Il cyber attacco creò il caos nel paese mediorientale e portò rallentamenti al programma atomico di Teheran. Sui media si è speculato sul fatto che l’azione sia stata un’operazione congiunta Usa-Israele, ma non ci sono mai state conferme ufficiali o esibizioni di prove certe che confermassero la tesi. Secondo gli analisti informatici, comunque, il malware è ricordato come la “prima arma digitale di importanza geopolitica”.
Il 2013 è l’anno del ransomware: grazie a CryptoLocker il cybercrime ottiene 3 milioni di dollari in riscatti
In tempi più recenti, nel 2013, è arrivato CryptoLocker. Un malware che si è diffuso rapidamente tramite allegati email. Si trattava di un ransomware che criptava i file delle vittime, impedendo loro l’accesso. Chi era stato infettato, circa 500.000 macchine, doveva pagare un riscatto di 400 dollari entro 72 ore. L’alternativa era vedersi i file distrutti. Il creatore della cyber campagna si chiama Evgeniy Bogachev ed è stato arrestato a giugno del 2014 nell’ambito dell’operazione Tovar. Questa è stata condotta congiuntamente dalle forze di sicurezza di numerosi paesi in tutto il mondo. Il ransomware, comunque, prima di essere stato bloccato ha estorto 3 milioni di dollari alle sue vittime.
La Corea del Nord attacca la Sony Pictures per il film “The Inteview”
Il 2014 è stato l’anno del maxi cyber attacco alla Sony Pictures da parte di hacker di stato nord coreani. Non era la prima offensiva informatica su vasta scala che la compagnia subiva (nel 2011 furono compromesse 77 milioni di informazioni personali di utenti del PlayStation Network e il servizio fu bloccato per 20 giorni), ma si ritiene sia stata quella più dura. Il gruppo Guardians of Peace con un malware ha reso inoperabili i computer della divisione cinematografica di Sony per 2 ore. Poi, dopo aver rubato tutti i dati al loro interno, li ha riavviati cancellando completamente gli hard disk delle macchine. La causa dell’aggressione era stato il rifiuto da parte dell’azienda di bloccare l’uscita del film “The Interview”, che parla di un tentativo di uccidere Kim Jong-un. Pyongyang, che aveva definito la pellicola come un atto di guerra, però ha sempre negato ogni coinvolgimento nell’azione.
La storia attuale: Mirai e WannaCry. IoT sotto attacco e ransomware/ransomworm a go-go
Infine, si arriva a Mirai (2016) e a WannaCry (2017). Ma questa è storia recente e attuale, su cui si è scritto di tutto e di più. E su cui sono ancora in corso indagini. È da notare, però, che nel caso della botnet per la prima volta è stato colpito Internet of Things (IoT). La cyber offensiva, caratterizzata da attacchi DDoS, ha dimostrato l’estrema vulnerabilità dei dispositivi IoT e ha posto seri interrogativi sull’opportunità o meno di proseguire sulla strada della sempre più interconnessione a livello globale. WannaCry, invece, è considerato il peggior attacco ransomware/ransomworm della storia, avendo infettato 230.000 computer in oltre 150 nazioni. Sembra, però, che i risultati non siano stati quelli sperati. Il cybercrime dietro all’azione, secondo le stime, ha estorto meno di 150.000 dollari in riscatti.