Una favola per non piangere: la minaccia WannaCry spiegata ad un bambino [3/4]

Nelle prime due parti di questo articolo, gli attaccanti sono riusciti a compromettere il sistema bersaglio. Ora resta solamente un’ultima operazione per portare a compimento il loro piano: convincere le vittime a pagare il riscatto.


Tempo di lettura stimato: 6 minuti
Difficoltà:


Nelle prime due parti di questo articolo, gli attaccanti sono riusciti a compromettere il sistema bersaglio. Ora resta solamente un’ultima operazione per portare a compimento il loro piano: convincere le vittime a pagare il riscatto.

Capitolo terzo: il riscatto

Il mago tornò nella Foresta del Pianto con i suoi folletti, aspettando il giorno successivo per portare a compimento la sua vendetta. La mattina il re si svegliò, e come ogni giorno si recò a svegliare le sue amate figlie; appena entrato nella camera però si accorse della tragedia. A nulla servirono i tentativi dei soldati di spezzare i cofanetti o i blocchi di sale, essi erano indistruttibili. Alle due del pomeriggio, un orribile folletto chiese di poter essere ricevuto in udienza dal re Finestrone, che disperato acconsentì. Il folletto si presentò come servo del supremo mago Ransomio (che supremo non era affatto), dicendo che era stato lui ad imprigionare le fanciulle e che avrebbe potuto salvare loro la vita. Il re inizialmente si infuriò, ed era pronto ad uccidere l’ostile essere, ma si rese presto conto dell’impossibilità di salvare le principesse senza l’intervento del mago. Il folletto quindi fu libero di andarsene, non prima di aver annunciato che le ragazze non sarebbero potute sopravvivere a lungo all’interno del sale, e che sarebbe tornato a mezzogiorno del giorno successivo per ascoltare la decisione del re. La stessa cosa accadde in tutte le altre case.

Qui gli attaccanti adottano un ricatto psicologico. Un’immagine (qui sotto) spiega che i file potranno essere recuperati pagando 300$ entro 3 giorni, oppure 600$ entro 7 giorni. In caso contrario, non sarà più possibile recuperare i propri dati.

Il messaggio utilizza un linguaggio rassicurante, cercando di convincere la vittima della serietà e affidabilità dei malintenzionati, arrivando addirittura a definire il RansonWare “servizio”; allo stesso tempo però cerca di intimorire il malcapitato, utilizzando due conti alla rovescia dall’aspetto inquietante per incrementare l’ansia e la fretta dell’utente.

Tutte le vittime del mago si recarono di corsa al palazzo, per chiedere aiuto al saggio re, ma immediatamente compresero che egli stesso si trovava in una situazione identica. Dopo ore terribili di discussione, decisero di organizzare una trappola per il mago e i suoi scagnozzi.

All’ora pattuita, i folletti tornarono a far visita alle varie case. Il re chiese al malefico essere una prova del fatto che le sue figlie fossero ancora vive, e immediatamente il folletto si sollevò la maglia, e tirando una collana di corda mostrò a tutta la corte una chiave blu, consegnatagli da Ransomio in persona. Utilizzò quindi la chiave per aprire il lucchetto blu, e dal primo cofanetto estrasse il foglietto in essa contenuto, che venne consegnato al re. Egli lo lesse, e sconcertato chiese perché ci fosse scritto “Fragola”. Quando fu pronunciata la parola magica, immediatamente il blocco di sale contenente la figlia più piccola si scompose in piccoli cristalli, e la bambina si ritrovò a terra, svenuta ma ancora viva. In quegli stessi istanti, nelle altre case le altre chiavi blu furono usate per liberare alcuni dei fanciulli, uno per ciascuna delle case a parte l’ultima, in cui per disgrazia del padrone di casa ad essere liberato fu il fastidiosissimo Chihuahua.

Gli attaccanti hanno utilizzato di proposito la DemoKey pubblica (cioè il lucchetto blu), in modo tale da poter dimostrare agli attaccanti di essere in grado di recuperare i file. Il tasto “Decrypt”, infatti, permette di decifrare un piccolo insieme di file, recuperandone le chiavi simmetriche (il primo bigliettino) grazie alla DemoKey privata (la chiave blu, uguale per tutti gli attaccati nel mondo). Questo trucchetto serve a rafforzare ancora di più il messaggio contenuto nella finestra del malware: “Siamo dei criminali, ma siamo affidabili e se seguirai le nostre istruzioni tutto si risolverà per il meglio”.

Immediatamente i soldati si gettarono sul piccolo essere, e si misero a perquisirlo; purtroppo però non trovarono altre chiavi sui suoi vestiti. Provarono anche ad usare la chiave blu per aprire gli altri due lucchetti, ma non fu possibile. Il re quindi capì che la situazione era drammatica, si mostrò rassegnato, e decise di offrire al mago l’enorme diamante posto sul suo scettro. Il folletto rifiutò prontamente, e chiede invece il ricavato delle tasse di quell’anno, da poco giunte al castello. Il re acconsentì, anche perché il diamante valeva molto più del riscatto richiesto, e consegnò tutto quanto al servo del mago.

Gli attaccanti non sono stupidi, e sanno che i pagamenti “tradizionali” sarebbero immediatamente rintracciabili (come il diamante della storia, troppo riconoscibile per essere rivenduto). Per questo motivo, il pagamento può essere effettuato solamente in bitcoin, che sono totalmente anonimi e che quindi non lasciano alcuna traccia. (Spoiler: per comprendere conclusione della terza parte, forse ti conviene dare un ripassino alla seconda…)

Senza scendere nei dettagli, cerchiamo di capire perché è stato scelto il bitcoin. L’anonimato nelle transazioni effettuate con questa valuta è garantito utilizzando la crittografia: a ciascun portafoglio (o wallet) può essere associato un numero arbitrario di chiavi asimmetriche (generate con algoritmo ECDSA), le cui chiavi pubbliche possono essere usate come indirizzo a cui inviare i bitcoin; poiché queste chiavi non contengono alcuna informazione riguardante il loro proprietario, ed essendo possibile generare una chiave diversa per ciascuna transazione, il bitcoin può essere utilizzato mantenendo segreta la propria identità, rendendo tale valuta perfetta per un attacco come WannaCry.

La finestra del riscatto infatti include nella parte bassa proprio l’indirizzo, cioè la chiave pubblica, destinata all’utilizzo per la singola transazione con questa particolare vittima.

Anche per oggi abbiamo finito… A presto con la quarta e ultima parte della storia e una piccola sorpresa!

Pubblicato da Mauro Valota

Ingegnere informatico, appassionato di teatro e letteratura. O forse, più probabilmente, un permaloso Glitch in Matrix. Laureato in ingegneria informatica all’Università degli Studi di Bergamo.