In contemporanea, in un’altra struttura, un medico di nome Ben doveva rimandare a casa i pazienti senza le loro terapie, anche quelli che soffrivano di patologie serie come diabete o asma. All’ospedale King’s Mill di Mansfield, un piccolo centro inglese, il pronto soccorso si trovava a dover respingere perfino i feriti gravi, come testimoniato dal dottor Tarek Seda. In un altro ospedale, un uomo che intorno all’ora di pranzo doveva fare un intervento al cuore, e che si era presentato già rasato per l’operazione, si è sentito dire dal chirurgo che quel giorno non potevano fare nulla “perché siamo stati hackerati”, ha raccontato lo stesso paziente in TV. “Alle tre del pomeriggio gli schermi dei computer sono diventati neri, come andati in crash”, ha invece dichiarato Kaley, segretaria di un ambulatorio inglese, al Guardian. “A quel punto non avevamo più accesso ai dati dei pazienti. E i telefoni si sono messi a suonare”.

Nel primo pomeriggio di quel venerdì, e durante le ore successive, nel servizio sanitario inglese venivano cancellati 19.000 appuntamenti. Nel mentre si fermavano o rallentavano le attività di un terzo delle aziende sanitarie e dell’8% dei medici di base. Almeno cinque ospedali – tra Londra, Essex, Hertfordshire, Hampshire e Cumbria – dovevano dirottare verso altre strutture tutte le emergenze, le ambulanze e i pazienti arrivati al pronto soccorso.

Nel frattempo, nel tardo pomeriggio, la BBC iniziava a fare una diretta online sull’aggressione al sistema sanitario nazionale. Che, si sarebbe capito subito dopo, non era in realtà un attacco mirato contro gli ospedali inglesi, come forse qualcuno aveva pensato inizialmente. Mano a mano che iniziavano ad arrivare notizie dal resto del mondo, infatti, diveniva sempre più chiaro che il marasma negli ospedali e negli ambulatori inglesi era parte di una baraonda globale. Altre aziende e organizzazioni in molti Paesi si erano trovate, quel venerdì, coi computer e i sistemi bloccati. Dalla Russia alla Spagna, dalla Germania alla Francia, dagli Stati Uniti al Portogallo, 230.000 computer venivano fermati quasi in contemporanea dalla stessa infezione. A essere colpite anche aziende come la francese Renault, telco come Telecom Portugal e la spagnola Telefonica, il colosso delle spedizioni FedEx, il conglomerato tech giapponese Hitachi, varie banche e ministeri in Russia, Bank of China in Cina, un centro commerciale a Singapore, una catena di cinema in Corea del Sud, un operatore ferroviario tedesco (Deutsche Bahn) e molte altre organizzazioni. La lista potrebbe continuare.

Su Twitter giravano le foto scattate da varie persone, passeggeri di treni o studenti in laboratorio, che riprendevano gli schermi colpiti dall’infezione. Non era mai successo prima, con questa portata, con questo impatto, con questa velocità. È stato uno choc globale. È stato WannaCry.

Quando si scopre una vulnerabilità – ovvero una debolezza, un errore, una falla in un sistema o software – non è detto che possa essere usata per un attacco. Serve prima confezionare uno strumento, scrivere dei codici, delle sequenze di comandi, che diventano l’arma, il grimaldello con cui fare leva nella falla. L’exploit, appunto. I creatori di WannaCry hanno dunque usato alcuni codici di attacco che erano stati creati dall’intelligence americana per infiltrarsi nei sistemi e spiare avversari, e che fino a un mese prima erano sconosciuti ai più. Finché qualcuno (poi vedremo chi) non li ha sottratti all’Agenzia di Sicurezza Nazionale americana, più nota anche da noi come NSA, che da decenni si occupa di violare comunicazioni e sistemi stranieri con tecnologie d’avanguardia. E, infine, li ha sganciati online come una bomba a orologeria, nell’aprile del 2017. Neanche un mese dopo, i creatori di WannaCry li hanno presi e incorporati in un ransomware. In effetti, già da febbraio esisteva una prima versione di WannaCry che, però, era sprovvista degli exploit e si diffondeva in modo tradizionale. Ma attraverso il doping di questi codici di attacco — in particolare di uno, chiamato Eternalblue — che permettevano all’infezione di propagarsi via Rete e in modo più efficace, il ransomware si è diffuso alla velocità della luce. Bastava che il software, Windows, fosse vulnerabile.

In verità Microsoft aveva rilasciato una correzione (in gergo, una patch, una pezza) di queste vulnerabilità già a marzo, ma ancora in molti non avevano aggiornato il proprio sistema operativo.

Nel complesso la stima dei danni globali oscilla fra i quattro e gli otto miliardi di dollari.

In realtà questa casualità è stata accentuata un po’ troppo dai media. Hutchins, come ha spiegato lui stesso in un articolo sul suo blog MalwareTech, tendeva spesso a registrare i domini indicati nel codice dei malware (nel caso risultassero scaduti o non registrati), nella speranza d’identificare un server di comando e controllo usato dagli autori dell’attacco. Si tratta solo di un primo passo in una procedura che nella migliore delle ipotesi può portare i ricercatori a monitorare la diffusione delle infezioni o a catturare il traffico che arriva dalle macchine infette, le quali tentano di comunicare con alcuni server messi in piedi dagli attaccanti per ricevere istruzioni o inviare dati. Una tecnica che può permettere agli analisti di prendere il controllo della situazione, scalzando gli...