Cosa è successo?

L’evento relativo all’ondata del malware denominato WannaCry verificatosi nello scorso mese di maggio è stato di fondamentale importanza per far emergere le criticità che ad oggi sono ancora presenti nell’attività di sviluppo del software. WanaCrypt0r (noto anche come WannaCry o WCry), infatti è un Trojan che si è diffuso velocemente grazie alla possibilità di trasmettersi utilizzando un exploit, accedendo attraverso una nota vulnerabilità di Windows senza bisogno di intervento da parte dell’utente. Una volta che il computer viene infettato, il malware prova a diffondersi in tutti gli altri sistemi della rete locale. L’offensività del malware è stata agevolata notevolmente dal suo particolare funzionamento in grado di sfruttare i privilegi di amministratore con i quali, spesso, si opera nella gran parte dei nostri PC.

WannaCry è stato riconosciuto per la prima volta a febbraio di quest’anno in una variante, meno offensiva dell’attuale, denominata Ransom_WCRY.C. e veicolato tramite alcune tradizionali tecniche di phishing che, anche per la sua scarsa diffusione, hanno portato a sottovalutarne l’effettiva portata e pericolosità. L’attacco del periodo più recente, nella variante WanaCryptor 2.0, ha coinvolto oltre 75.000 computer di 99 paesi diversi in tutto il mondo, causando la criptazione dei file in essi contenuti. Nella sua ultima versione, quindi, il virus è inquadrabile sia nella categoria dei ransomware che in quella dei cosiddetti worm, poiché è in grado di replicarsi rapidamente sfruttando le debolezze strutturali della rete.

La particolarità di questo attacco riguarda l’utilizzo di una vulnerabilità nota come EternalBlue/DoublePulsar: un sistema exploit sviluppato dall’Intelligence americana della National Security Agency (NSA). Ebbene, EternalBlue, costruito dall’NSA come arma informatica, è tra i codici sottratti all’Agenzia ad opera di un misterioso gruppo di pirati informatici noto come “Shadow Broker”: un’attività iniziata la scorsa estate, con la diffusione online di altre armi digitali, che sono poi finite anche in mano di alcuni criminali, poi recentemente utilizzate per potenziare la famiglia dei famigerati ransomware. È così che, alcune settimane fa, il codice offensivo EternalBlue è stato pubblicato online e si è potuto scoprire che la sua modalità di funzionamento sfrutta proprio una vulnerabilità interna ai sistemi Windows prima sconosciuta, ma che Microsoft aveva risolto il 14 marzo 2017 con l’aggiornamento di sicurezza MS17-010.

In Italia, sembrerebbe che non vi siano state importanti evidenze di riscontro, a parte qualche caso isolato, mentre in Inghilterra e Scozia si è verificata una situazione molto più preoccupante: si pensi, a titolo d’esempio, all’accesso bloccato alle cartelle cliniche digitali dei pazienti o alle ambulanze in emergenza che hanno dovuto invertire la rotta a causa di riferimenti errati sulla destinazione da raggiungere. Il National Health Service (NHS), l’agenzia statale che gestisce la sanità in Gran Bretagna, ha fatto sapere che in alcuni casi è stata addirittura necessaria la sospensione dei servizi sanitari. In Spagna, le principali fonti di cronaca hanno riferito di infezioni importanti anche in aziende di telecomunicazioni e legate a linee di credito.

Come funziona WannaCry

In genere l’infezione avviene attraverso l’apertura di un link malevolo presente su una mail che in qualche modo cerca di riprodurre un sito noto (vedi una banca) o che presenta in allegato una fattura che dev’essere ancora saldata. Si gioca molto sull’istinto umano che in balia del dubbio verso qualcosa che lo riguarda è portato a consultare un link o ad aprire un allegato, ignorando i pericoli del caso.

Il virus in questione, per poter funzionare correttamente e potersi poi diffondere, richiede che l’utente con il quale si accede al sistema operativo infettato sia abilitato con i cosiddetti privilegi amministrativi.

Una volta cliccato sul link presente all’interno della mail o aver aperto l’allegato presente, tutto ha inizio e in poco tempo i dati vengono cifrati e messi sotto chiave. Una volta terminata questa attività di cifratura il virus si preoccupa di notificare al malcapitato un chiaro e ben articolato messaggio su come poter ottenere nuovamente la disponibilità dei propri dati, banalmente attraverso il pagamento di una somma di denaro in valuta bitcoin.

Essendo una valuta poco nota alla maggior parte delle vittime, vengono descritti minuziosamente tutti i passi da compiere per procedere al pagamento. Il soggetto criminale in questo contesto punta su due aspetti principali: il primo è quello di facilitare le procedure di pagamento attraverso una moneta virtuale della quale immagina che l’utente malcapitato sia poco avvezzo. In secondo luogo non viene chiesta di solito una cifra spropositata in quanto si cerca di incentivare al pagamento piuttosto che indurre la vittima ad altre soluzioni.

Alcuni aspetti penali della vicenda

Da un punto di vista strettamente giuridico, l’azione criminale perpetrata da coloro che realizzano e diffondono il virus in questione ha una rilevanza penale molto ampia in quanto può realizzare la violazione di diverse fattispecie di reato previste dal nostro ordinamento.

In primo luogo, la mera condotta intrusiva del criminale attraverso l’azione del virus e nei confronti del sistema informatico o telematico, quando questo è protetto da misure di sicurezza, può integrare il delitto di accesso abusivo a un sistema informatico o telematico, punito dall’art. 615-ter del codice penale.

Inoltre, la realizzazione e la diffusione delle email di phishing utilizzate per indurre il malcapitato ad aprire l’allegato contenente il codice malevolo, può costituire una condotta punibile ai sensi dell’art. 615-quater del codice penale, che sanziona la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici. Il reato si commette, nel caso in esame, quando si realizza la diffusione della email contenente il virus, che rappresenta un mezzo idoneo all’accesso al sistema informatico, al fine di realizzare un profitto (il pagamento della somma di denaro) o di arrecare un danno (la criptazione dei dati).

L’azione del virus WannaCry, così come di altri ransomware di tipo analogo, realizza di fatto un’alterazione o soppressione dei dati o dei programmi informatici presenti nelle macchine infettate, dal momento che, sebbene i dati siano solo criptati e non cancellati o distrutti, fa venir meno la possibilità di recupero da parte del legittimo titolare. Tale condotta è, quindi, punibile anche dall’art. 635-bis del codice penale che prevede il reato di danneggiamento di sistemi informatici e telematici.

Infine, l’azione commessa attraverso il virus può costituire anche il reato di frode informatica, punito e previsto dall’art. 640-ter del codice penale. Con questo reato, il legislatore penale ha inteso punire la condotta di colui che alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico, procura a sé o ad altri un ingiusto profitto con altrui danno. Quest’ultimo elemento richiesto dalla fattispecie penale si realizza nel momento in cui la vittima versa la somma di denaro richiesta dai criminali per poter ottenere la chiave di decifratura dei dati; in caso di mancato versamento della somma di denaro, comunque potrebbe configurarsi il medesimo reato nella forma del tentativo.

Un’ultima considerazione merita l’aspetto della richiesta di denaro in cambio della possibilità di ottenere nuovamente l’accesso ai dati presenti nel sistema informatico. Tale elemento, infatti, potrebbe ritenersi sufficiente perché si configuri un ulteriore reato, non rientrante nel novero dei cosiddetti reati informatici in senso stretto: il reato di estorsione. Secondo l’art. 629 del codice penale è punita la condotta di colui che mediante violenza o minaccia costringe taluno a fare o ad omettere qualche cosa procurando a se o ad altri un ingiusto profitto con l’altrui danno. La violenza, che può essere anche psicologica, o la minaccia, richieste dalla fattispecie incriminatrice, nel caso di specie è rappresentata dalla possibilità di perdere l’accesso ai propri dati contenuti nel sistema informatico.

L’intervento di AgID/CERT-PA

Tenuto conto di quanto è stato finora illustrato, delle modalità di diffusione dei virus ransomware e delle conseguenze in termini economici che derivano dalla loro azione, è importante conoscere e adottare una serie di cautele e di misure di sicurezza per ridurre al minimo il rischio di incidenti informatici di questo tipo.

A tal proposito, all’indomani dell’avvenuto attacco da parte del virus WannaCry, le massime istituzioni italiane in ambito di sicurezza informatica, AgID e CERT-PA, hanno pubblicato una serie di linee guida volte ad eliminare la vulnerabilità dei sistemi, ad abbassare il rischio di infezione dal virus e mitigare eventuali attacchi già perpetrati.

In particolare, l’Agenzia per l’Italia Digitale, in virtù delle funzioni ad essa attribuite dall’art. 14-bis, lett. a) del D. Lgs. 82/2005 (Codice dell’Amministrazione Digitale), ha il compito di emanare regole, standard e guide tecniche in materia di sicurezza informatica ed ha specifiche competenze nell’ambito delle misure atte a garantire l’attuazione del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e del “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Il CERT-PA, invece, è una struttura interna all’AgID ed è preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni.

Di seguito si riportano brevemente alcune specifiche azioni segnalate all’interno delle linee guida pubblicate dall’AgID in collaborazione con il CERT-PA. Per una lettura più completa, si rimanda al testo pubblicato al seguente indirizzo (https://www.cert-pa.it/web/guest/news?id=8394).

In primo luogo, per evitare la compromissione delle macchine è opportuno eliminare la vulnerabilità sfruttata dal malware, attraverso l’adozione dei seguenti accorgimenti:

  • Installazione della patch sviluppata e pubblicata da Microsoft con il Microsoft Security Bulletin MS17-010-Critical;
  • Installazione di un antivirus aggiornato successivamente al 12 maggio 2017, in grado di proteggere i sistemi dall’attacco dal malware.
  • In secondo luogo, le linee guida segnalano anche alcune misure in grado di ridurre la probabilità di infezione da parte del virus:
  • blocco del protocollo SMB e disattivazione del protocollo SMB ove non specificamente richiesto;
  • blocco del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault, US-CERT e CERT-PA;
  • abilitazione del traffico http verso il dominio: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com in modo da attivare il “kill switch” presente in alcune versioni del malware e bloccare così la sua attività.
  • in alternativa, è possibile ridirigere tutto il traffico http diretto verso il web server in esso specificato verso un server fittizio che genera una risposta HTTP code 200 per qualsiasi richiesta in arrivo.

Infine, anche le macchine spente, al momento dell’accensione, potrebbero essere compromesse se non vengono adottate specifiche misure di contenimento dell’attacco. In particolare, il CERT-PA raccomanda, sotto la guida di un esperto di sicurezza informatica, l’adozione delle seguenti cautele:

  • scollegamento della macchina dalla rete locale prima dell’accensione;
  • massima attenzione ad eventuali eventi anomali in fase di avvio (bootstrap)
  • se l’avvio è avvenuto correttamente, all’accensione effettuare immediatamente una ricerca per file la cui estensione sia “.wncry”
  • prima di collegare il sistema alla rete è opportuno chiudere tutte le applicazioni in avvio automatico, in particolare quelle dedicate alla gestione della posta elettronica;
  • collegare la macchina alla rete e aggiornare immediatamente l’antivirus prima di consentire alla macchina di collegarsi alla posta elettronica
  • installare la patch di sicurezza di cui al bollettino MS17-010, prima di collegarlo alla rete.

In conclusione, appare opportuno segnalare anche la recente pubblicazione in Gazzetta Ufficiale delle “Misure minime di sicurezza informatica per la PA” ad opera dell’Agenzia per l’Italia Digitale con Circolare 17 marzo 2017, n. 1/2017 (GU Serie Generale n.79 del 4 aprile 2017). Il documento, le cui indicazioni devono essere obbligatoriamente recepite dalle pubbliche amministrazioni entro il 31 dicembre 2017, rappresenta un riferimento pratico anche per i soggetti privati al fine di valutare e migliorare il proprio livello di sicurezza informatica e di contrastare le minacce più comuni e frequenti, che va ad integrarsi alle già previste misure di sicurezza obbligatorie previste dal D. Lgs. 196/2003 e dal Regolamento UE 679/2016 in materia di protezione dei dati personali.


Gianluca Satta

Gianluca Satta

Avvocato del Foro di Cagliari, Consulente e Cultore di Diritto dell'Informatica e delle Nuove Tecnologie presso l'Università degli Studi di Cagliari
Gianluca Satta

Gianluca Satta

Avvocato del Foro di Cagliari, Consulente e Cultore di Diritto dell’Informatica e delle Nuove Tecnologie presso l’Università degli Studi di Cagliari