Il ransomware WannaCry: capire l’attacco, le sue cifre e le soluzioni
Nel maggio 2017, il ransomware WannaCry ha scatenato un’ondata di attacchi di dimensioni raramente viste, colpendo aziende, ospedali, agenzie governative e privati in tutto il mondo.
Che cos’è un attacco ransomware WannaCry?
Per comprendere appieno WannaCry, dobbiamo innanzitutto ricordare cos’è un ransomware. Il ransomware è un software dannoso che cripta i vostri file, impedendovi di accedervi, e poi chiede un riscatto, di solito in criptovalute, per decriptarli.
L’attacco ransomware WannaCry segue in linea di massima lo stesso principio, ma con caratteristiche che lo rendono particolarmente preoccupante, e all’epoca quasi pandemico :
- Infezione: il malware si installa su una workstation Windows vulnerabile, spesso tramite una porta di rete esposta, senza alcuna azione da parte dell’utente.
- Crittografia: i file più importanti vengono crittografati (documenti, immagini, database), rendendo praticamente impossibile il lavoro quotidiano.
- Richiesta di riscatto: viene visualizzato un messaggio che solitamente richiede l’equivalente di 300-600 dollari in Bitcoin, con un conto alla rovescia e la minaccia di cancellare i dati.
- Propagazione automatica: WannaCry è unico nel suo genere in quanto si diffonde da una macchina all’altra all’interno di una rete, in modo quasi autonomo.
In altre parole, se foste un responsabile IT nel 2017, una singola workstation infetta, non corretta, potrebbe essere sufficiente a contaminare rapidamente gran parte dell’infrastruttura IT, con un sorprendente effetto domino.

Uno sguardo al 2017: l’attacco WannaCry in alcuni dati chiave
Per valutare la gravità dell’episodio di WannaCry, è utile esaminare alcune cifre, tratte da rapporti pubblici e da analisi di diversi operatori della sicurezza informatica.
| Indicatore | Valore approssimativo | Commenti |
| Macchine infette | > 200 000 | Computer compromessi nei primi giorni dell’attacco, in tutto il mondo. |
| Paesi interessati | ≈ 150 | Si trova in tutti i continenti, compresi Europa, Asia e America. |
| Importo totale dei riscatti pagati | Circa 130.000 dollari | Somma osservata sui portafogli Bitcoin associati all’attacco. |
| Costo economico complessivo | Diversi miliardi di dollari | Le stime, a seconda delle fonti, variano da 4 a 8 miliardi di dollari di perdite. |
| Aziende interessate | Decine di migliaia | Grandi aziende industriali, ospedali e amministrazioni nazionali. |
In concreto, i servizi sanitari pubblici hanno dovuto rinviare migliaia di appuntamenti, le linee di produzione si sono fermate e i trasporti sono stati interrotti. Lo shock è stato tale che, in molte organizzazioni, la cybersecurity è passata dall’essere una questione periferica a una preoccupazione strategica e quasi esistenziale.
Come ha fatto WannaCry a diffondersi così rapidamente?
A questo punto, vi starete chiedendo come un singolo ransomware possa essersi diffuso così tanto in un lasso di tempo così breve. La risposta sta in una combinazione di fattori tecnici, organizzativi e umani.
Una vulnerabilità critica di Windows sfruttata su larga scala
WannaCry sfrutta una vulnerabilità nel protocollo SMBv1 (Server Message Block) dei sistemi Microsoft Windows, nota come MS17-010. Microsoft ha rilasciato una patch di sicurezza nel marzo 2017, circa due mesi prima del grave attacco del maggio 2017.
In pratica, molte organizzazioni non avevano ancora implementato questa patch, a volte per mancanza di tempo, a volte per paura di interrompere le applicazioni più vecchie, a volte semplicemente per l’assenza di un processo di aggiornamento rigoroso. WannaCry ha sfruttato questa vulnerabilità, diffondendosi da una macchina all’altra in modo quasi automatico.
Un “worm” piuttosto che un semplice ransomware
Un’importante sottigliezza, spesso trascurata, sta nel modo in cui si diffonde. WannaCry non è solo un ransomware, ma anche un worm. In altre parole, scansiona le reti e cerca attivamente altre macchine vulnerabili per copiarsi, senza alcuna interazione da parte dell’utente.
In una rete aziendale, con postazioni di lavoro spesso interconnesse e talvolta poco segmentate, un worm di questo tipo può diffondersi in modo ubiquitario, nel giro di pochi minuti, e superare molto rapidamente la capacità di reazione dei team interni.
Sistemi obsoleti e gestione inadeguata delle patch
Un altro fattore decisivo è stata la presenza di numerosi sistemi obsoleti o non mantenuti nelle organizzazioni interessate. Abbiamo osservato, ad esempio, postazioni di lavoro con Windows XP o Windows Server 2003, sistemi che erano già fuori dal supporto standard, ma che venivano ancora utilizzati per controllare apparecchiature industriali o terminali specializzati.
Queste macchine, che vengono riavviate raramente e talvolta considerate troppo “sensibili” per essere aggiornate, si sono rivelate punti di ingresso ideali per WannaCry e hanno facilitato una diffusione sistemica difficile da contenere.
Quali lezioni si possono trarre da WannaCry oggi?
La buona notizia è che l’episodio di WannaCry è servito da innesco, quasi catartico, per molte organizzazioni. Ha messo brutalmente in luce i punti deboli di alcune pratiche e ha dimostrato che uno sforzo coordinato e regolare può ridurre significativamente il rischio.
Se si analizza la situazione nel proprio contesto, sia che si tratti di un dirigente, di un responsabile IT o di un semplice utente interessato, si possono trarre diverse lezioni concrete.
1. L’aggiornamento dei sistemi non è più facoltativo
La prima e più importante lezione è che un sistema non aggiornato espone l’intera organizzazione, non solo la postazione interessata. Nel caso di WannaCry, due elementi sono particolarmente significativi:
- La patch MS17-010 era disponibile 2 mesi prima dell’attacco massiccio.
- Le organizzazioni che hanno applicato questa patch in tempo sono state generalmente risparmiate o colpite solo marginalmente.
Per voi, questo significa avere un processo di gestione delle patch chiaro, documentato e regolare. Anche se alcuni aggiornamenti sembrano prosaici o onerosi, la loro assenza può avere un impatto sproporzionato se una vulnerabilità viene sfruttata su larga scala.
2. I backup affidabili rimangono la vostra rete di sicurezza definitiva
Un’altra lezione fondamentale riguarda i backup. Molte delle organizzazioni colpite da WannaCry si sono rese conto in fretta che i loro backup erano incompleti, mal testati o archiviati su supporti accessibili al ransomware.
Per limitare l’impatto del ransomware e tornare rapidamente operativi, è fondamentale disporre di backup:
- Regolare: quotidianamente o almeno settimanalmente, a seconda della criticità dei dati.
- Non collegato: almeno una copia deve essere offline, o logicamente isolata dalla rete.
- Testato: il restauro deve essere controllato regolarmente, quasi con metodo.
Le organizzazioni che disponevano di backup solidi sono state in grado di ripristinare i propri sistemi nonostante l’attacco, limitando la perdita di dati e spesso evitando di pagare il riscatto: un vantaggio decisivo.
3. La segmentazione della rete limita la propagazione
WannaCry ha sfruttato reti poco segmentate, dove una workstation infetta poteva comunicare troppo liberamente con il resto dell’infrastruttura. Un’ulteriore suddivisione trasforma la rete in una serie di compartimenti stagni, limitando drasticamente la diffusione laterale del malware.
In termini pratici, ciò significa :
- Isolate i server critici dalle workstation degli utenti utilizzando regole di filtraggio rigorose.
- Ambienti di produzione, test e amministrazione separati.
- Limitare l’uso dei protocolli più vecchi, come SMBv1, solo ai casi in cui è assolutamente necessario, o addirittura disabilitarli del tutto.
In questo modo, anche se un punto di ingresso viene compromesso, l’attacco rimane contenuto e le capacità di risposta rimangono intatte.

Quali azioni concrete si possono intraprendere contro i ransomware, compreso WannaCry?
Passiamo a un piano d’azione più operativo, che potete adattare alla vostra organizzazione, piccola o grande che sia. L’obiettivo è ridurre, per quanto possibile, la probabilità di infezione e l’impatto di un eventuale incidente.
1. Implementare una politica di aggiornamento rigorosa
Si tratta spesso della misura più efficace dal punto di vista dei costi, ma talvolta viene trascurata. Una politica efficace dovrebbe includere :
- Un inventario preciso dei sistemi e dei software utilizzati nella vostra organizzazione.
- Un processo automatico o semi-automatico per la distribuzione delle patch di sicurezza.
- Test rapidi ma sistematici su un piccolo perimetro, prima di un’implementazione globale.
- Monitoraggio dei sistemi obsoleti, con un piano di sostituzione o di isolamento rafforzato.
In questo modo, si riduce notevolmente la superficie di attacco, non solo contro WannaCry, ma anche contro un’intera miriade di altre minacce informatiche.
2. Disattivare i protocolli legacy, ove possibile
WannaCry ha sfruttato una versione vecchia e vulnerabile del protocollo SMB. Una buona pratica è quella di disabilitare o limitare i protocolli considerati obsoleti, quando possibile, senza compromettere le operazioni.
In altre parole, potrebbe essere saggio :
- Disattivare SMBv1, tranne in casi molto specifici e debitamente giustificati.
- Limitare l’esposizione dei servizi sensibili al mondo esterno, utilizzando firewall e liste di controllo degli accessi.
- Implementare il principio del minor privilegio, in modo che ogni servizio, ogni utente, abbia solo i diritti strettamente necessari.
Questi aggiustamenti, a volte percepiti come tecnici, hanno un effetto molto tangibile sulla resilienza complessiva del vostro sistema informativo.
3. Rafforzare la protezione delle postazioni di lavoro e dei server
Allo stesso tempo, rimane essenziale una base di protezione tecnica per le postazioni di lavoro e i server. Ciò include in particolare :
- Una soluzione antivirus o di sicurezza degli endpoint aggiornata e correttamente configurata.
- Filtraggio di allegati e link nelle e-mail.
- Bloccare, per quanto possibile, l’esecuzione di programmi sconosciuti o non approvati.
- Registrazione degli eventi di sicurezza, per facilitare il rilevamento precoce e l’analisi degli incidenti.
Lungi dall’essere una panacea, queste misure aumentano la capacità di rilevare e bloccare un attacco prima che si diffonda ampiamente.
4. Sensibilizzazione degli utenti in modo pragmatico
WannaCry si è diffuso principalmente attraverso una vulnerabilità di rete, ma molti attacchi ransomware, prima e dopo di lui, utilizzano l’errore umano come leva per l’infezione. Ecco perché, al di là della tecnologia, la consapevolezza degli utenti è un pilastro decisivo.
È utile, ad esempio, spiegare chiaramente ai vostri team :
- Come riconoscere un’e-mail sospetta, un allegato dubbio o un link incoerente.
- Perché non bisogna mai collegare chiavette USB sconosciute, anche se sembrano innocue.
- Quali sono le migliori pratiche per le password e l’autenticazione a più fattori?
- Come reagire immediatamente in caso di dubbio: allertare, isolare la macchina, non riavviare senza istruzioni.
Una formazione pratica e regolare, con esempi realistici, aiuta a trasformare il personale da anello debole a linea di difesa attiva.
5. Preparare un piano di risposta agli incidenti
Infine, nonostante tutte le precauzioni, il rischio zero non esiste. Ecco perché un piano di risposta agli incidenti chiaro, collaudato e testato è una parte essenziale del vostro sistema.
Questo piano deve specificare esplicitamente :
- Chi avvisare in caso di sospetto ransomware e attraverso quale canale.
- Come isolare rapidamente un computer o un segmento di rete compromesso.
- Quali sono le fasi prioritarie di ripristino dal back-up?
- Quali contatti esterni devono essere mobilitati, se necessario (assicuratore cyber, fornitore di servizi, autorità competenti).
Preparando queste procedure in anticipo, si risparmia tempo prezioso e si riduce il rischio di prendere decisioni improvvisate e talvolta costose in preda al panico.
Dovreste pagare il riscatto in caso di attacco WannaCry?
La domanda sorge spesso, soprattutto quando i dati critici sono criptati e la pressione emotiva è alta. Nel caso di WannaCry, molte organizzazioni non hanno pagato, perché disponevano di backup o perché nutrivano seri dubbi sulla reale capacità degli attaccanti di ripristinare i dati.
In generale, il pagamento del riscatto è sconsigliato per diversi motivi:
- Non c’è alcuna garanzia di riavere i propri dati, anche se si paga.
- State potenzialmente finanziando il perseguimento di attività criminali.
- Correte il rischio di essere identificati come un obiettivo “solvibile” e quindi di essere nuovamente presi di mira.
È proprio per evitare di essere costretti a questo dilemma che è così importante investire a monte nella prevenzione, nelle salvaguardie e nella preparazione operativa.
In conclusione: dall’episodio di WannaCry, verso una cybersecurity più matura
Se facciamo un passo indietro, WannaCry ha rappresentato una rivelazione quasi brutale delle debolezze accumulate negli anni in molti sistemi informatici. Ma ha anche dimostrato che con pratiche più mature, aggiornamenti regolari, backup affidabili e un’organizzazione più preparata, l’impatto di questo tipo di attacchi può essere notevolmente mitigato.
Mettendosi nei propri panni, sia che siate responsabili di una piccola organizzazione, di un grande gruppo o di un utente comune, la cosa più importante da ricordare è che la protezione contro il ransomware non è fuori portata. Adottando queste best practice e imparando da WannaCry, potrete rafforzare la resilienza dei vostri sistemi a lungo termine, acquisire tranquillità e ridurre la probabilità che un giorno la vostra organizzazione venga paralizzata da una schermata inaspettata di ransomware.
17 Dicembre 2025






