Il comune di Baltimora è vittima di un attacco ransomware da ormai diverse settimane e un nuovo rapporto del The New York Times sembra fare luce sulle cause del motivo per cui la municipalità risulta essere ancora sotto scacco: alla base del tool che ha infettato tutti i principali sistemi informatici sembra esserci EternalBlue, una vecchia cyber-arma della NSA (National Security Agency) ormai fuori controllo. Ma andiamo con ordine.

Nelle scorse settimane il comune di Baltimora è stato preso di mira da un ransomware – una variante di RobbinHood – che ha bloccato tutti i computer. Il riscatto chiesto è di 100.000 dollari in bitcoin, tuttavia il sindaco ha reso noto che la città non intende piegarsi al ricatto, motivo per cui ha cercato soluzioni alternative al problema. Nel corso delle settimane la situazione è lentamente migliorata, ma sembra essere ancora lontana dal trovare una conclusione e tutto ciò ha ripercussioni negative su moltissimi dei servizi offerti dal comune, dalla semplice gestione della posta elettronica sino al calcolo delle tasse idriche, la gestione dei servizi di sanità pubblica e molto altro ancora.

Ma come è possibile che uno strumento così potente sia finito in mano a dei criminali? Il NYT sembra avere la risposta: alla base di questo attacco ci sarebbe il tool EternalBlue, che sembra essere stato anche utilizzato in altri casi famosissimi come WannaCry e NotPetya, quest’ultimo che, secondo USA e UK, vedrebbe la Russia come responsabile.

EternalBlue – come anticipato prima – non è altro che un tool d’attacco sviluppato dalla NSA sfruttando una falla di Microsoft Windows tenuta nascosta per anni. L’Agenzia statunitense ha infatti realizzato questo strumento per poterlo utilizzare come arma – e per fare ciò ha tenuto all’oscuro la casa di Redmond riguardo la falla scoperta per 5 anni -, ma ciò gli si è ritorto contro quando nel 2017 il misterioso gruppo Shadow Brokers ha ottenuto accesso a EternalBlue, sancendo quindi la totale perdita di controllo del tool da parte della NSA.

Nel corso degli anni pare che EternalBlue (che deve il suo nome al fatto che, inizialmente, provocava continue schermate blu nei computer delle vittime) sia stato smerciato a diversi gruppi e governi, i quali lo hanno utilizzato come base per poter realizzare altri strumenti d’attacco che sfruttassero le sue peculiarità.

In seguito al furto, la NSA ha contattato Microsoft per la realizzazione di una patch in grado di fermarlo, ma sembra che questa soluzione non abbia funzionato alla perfezione. Ovviamente la colpa è da imputare ai lenti processi di aggiornamento che riguardano il software utilizzato in ambiti come quelli della pubblica amministrazione, dove ogni singolo aggiornamento del sistema deve prima essere approvato per avere la certezza che non interferisca con l’altro software gestionale e non utilizzato.

Secondo Thomas Rid, esperto di cyber sicurezza della Johns Hopkins University, il caso Shadow Brokers rappresenta una delle più grandi violazioni subite dalla NSA in tutta la sua storia, persino superiore al caso Snowden, dal momento che il Governo non si è mai preso responsabilità in merito e ha sempre evitato di dare risposte, anche solo alle più semplici domande. Probabilmente sentiremo ancora parlare dei danni causati da EternalBlue e dai suoi discendenti.