WannaCry, sette anni dopo: perché quella lezione di cybersecurity non l'abbiamo ancora imparata

Lunedì mattina, 12 maggio 2017. Un computer Windows nel reparto di radiologia di un ospedale di medie dimensioni non riceve aggiornamenti da mesi. La rete dell'ospedale è "piatta": ogni dispositivo può comunicare liberamente con gli altri. Un medico prova ad aprire una cartella clinica e riceve un errore. Lo schermo si spegne. Appare un'icona di lucchetto rosso con una richiesta: 300 dollari in Bitcoin. Entro pochi minuti non è solo il computer della radiologia. Sono le postazioni infermieristiche, i server condivisi, gli uffici amministrativi. Tutto bloccato.

Non è una trama di film. È esattamente quello che accadde quando WannaCry colpì l'infrastruttura globale, causando danni stimati in 4 miliardi di dollari e infettando oltre 200.000 computer in più di 150 paesi. Sette anni dopo, uno studente di informatica ha deciso di ricreare quell'attacco in un ambiente di laboratorio isolato per capire davvero come funziona e, soprattutto, come difendersi.

Chi e cosa è successo

L'analisi proviene da dev.to, una comunità di sviluppatori e professionisti tech. L'autore, uno studente al quarto anno di Ingegneria Informatica, ha allestito un ambiente VirtualBox isolato per simulare l'attacco in sicurezza e documentare il funzionamento tecnico del ransomware e dell'exploit EternalBlue, la vulnerabilità di Windows sfruttata dall'attacco.

WannaCry non è stato un attacco sofisticato dal punto di vista della strategia: ha sfruttato una falla nota nel protocollo SMB (Server Message Block) di Windows, catalogata come MS17-010. Microsoft aveva già rilasciato una patch a marzo 2017, due mesi prima dell'attacco globale. Eppure, milioni di computer non erano stati aggiornati. L'exploit EternalBlue, sviluppato dalla NSA americana e successivamente rubato e reso pubblico dal gruppo hacker Shadow Brokers, permetteva al malware di diffondersi automaticamente da un computer all'altro senza intervento umano: bastava che un dispositivo vulnerabile fosse collegato alla rete.

L'impatto fu devastante proprio per questa capacità di propagazione. Una volta dentro una rete, il ransomware crittografava i file e chiedeva il pagamento di un riscatto. Ma a differenza di altri attacchi ransomware, WannaCry non aveva bisogno che gli utenti cliccassero su un link malevolo o aprissero un allegato infetto: si diffondeva da solo, come un virus biologico.

Perché è importante ancora oggi

Sette anni dopo, WannaCry rimane attivo. Non è più la minaccia numero uno, ma il ransomware continua a infettare sistemi vulnerabili in tutto il mondo. La lezione dovrebbe essere ovvia: gli aggiornamenti di sistema salvano vite (digitali e, nel caso degli ospedali, anche umane). Eppure, il problema persiste.

Molte organizzazioni, soprattutto nel settore pubblico e sanitario, mantengono ancora sistemi Windows obsoleti per ragioni di compatibilità con software legacy o per mancanza di budget. Una rete "piatta", dove ogni dispositivo può comunicare con gli altri senza restrizioni, amplifica il danno: un'infezione si propaga in minuti invece di rimanere confinata. Questo è esattamente quello che accadde negli ospedali britannici durante l'attacco del 2017, quando il National Health Service (NHS) fu paralizzato e i pazienti dovettero essere dirottati verso altre strutture.

L'analisi tecnica in laboratorio serve a ricordare che la cybersecurity non è astratta. Non è una questione di "hacker cattivi" contro "difensori buoni". È una questione di scelte concrete: quale versione di Windows usi, quando applichi gli aggiornamenti, come configuri la tua rete, quali device hanno accesso a quali risorse. Una singola macchina non aggiornata può diventare il punto di ingresso per un'infezione che paralizza un'intera organizzazione.

IBM ha documentato come WannaCry abbia cambiato la cultura della cybersecurity, costringendo aziende e governi a ripensare le loro strategie di difesa. Ma il cambio culturale non è stato universale. Ancora oggi, vulnerabilità note rimangono non patchate in milioni di sistemi.

Cosa aspettarsi

La ricreazione in laboratorio dell'attacco WannaCry serve soprattutto a scopo educativo: permette a studenti e professionisti di capire il meccanismo senza rischi legali o etici. Non è una guida per attaccare sistemi reali (il disclaimer dell'articolo è chiaro su questo), ma un modo per comprendere perché la sicurezza informatica inizia con le basi: patch management, segmentazione di rete, backup offline.

Nei prossimi mesi e anni, gli indicatori da osservare sono:

• Quanti sistemi Windows rimangono non aggiornati: i dati di telemetria di Microsoft mostrano ancora una percentuale significativa di macchine che non ricevono patch regolarmente.
• Evoluzione del ransomware: gli attaccanti hanno imparato da WannaCry e ora usano strategie più sofisticate, come il double extortion (rubare i dati e poi chiedere il riscatto per non pubblicarli).
• Regolamentazione: la direttiva NIS2 europea e altre normative stanno iniziando a imporre standard di patch management obbligatori per le organizzazioni critiche.

L'attacco WannaCry non è una lezione del passato. È un promemoria che rimane valido: un computer non aggiornato non è un computer sicuro, indipendentemente da quanto sia sofisticato il tuo firewall o il tuo antivirus.