Oltre 650 milioni di computer infettati e più di 100 miliardi di dollari di danni economici stimati: queste sono le cifre astronomiche lasciate sulla scia dei virus informatici più devastanti della storia.
Negli ultimi decenni, il panorama degli attacchi cibernetici si è evoluto in modo esponenziale, raggiungendo un'intensità che continua a crescere. Facciamo un breve viaggio nel tempo per scoprire dieci dei virus più noti e capire come hanno cambiato il nostro modo di pensare alla sicurezza digitale.
I Love You: tutto tranne che una dichiarazione d'amore
Ricorderemo tutti quel famigerato "I love you", ma non era una dichiarazione d'amore, bensì il nome di un worm informatico che nel maggio del 2000 si diffuse principalmente tramite e-mail. L'oggetto del messaggio, apparentemente innocuo e accattivante ("I love you"), nascondeva un allegato chiamato "loveletterforu.txt.vbs". Il trucco era semplice ma ingegnoso: l'estensione ".vbs" (Visual Basic Script) era nascosta agli occhi di molti, facendo apparire il file come un innocuo documento di testo.
Una volta aperto, il virus si auto-inviava a tutti i contatti della rubrica di Outlook e si diffondeva a una velocità impressionante, sovrascrivendo e cancellando file di sistema e immagini sul computer infetto. In sole 24 ore, "I love you" aveva già infettato oltre 50 milioni di computer. Nel giro di pochi giorni, si stimò che un computer su dieci connesso a Internet fosse stato colpito. I danni globali furono stimati tra i 5 e i 10 miliardi di dollari, considerando il tempo perso per il ripristino dei sistemi, i danni a file personali e aziendali, la perdita di produttività e i costi per le contromisure di sicurezza adottate.
Il virus fu tracciato fino alle Filippine e attribuito a due giovani studenti di informatica, Onel de Guzman e Reomel Ramones. All'epoca, nel loro paese non esisteva ancora una legge specifica contro i crimini informatici, e per questo non furono mai condannati. "I love you" fu il primo virus a porre l'attenzione sul rischio del social engineering (ingegneria sociale): la gente apriva l'allegato perché mascherato da una lettera d'amore. Questo fu l'inizio di una lunga serie di attacchi basati sull'ingegneria sociale.
Code Red: quando la Casa Bianca tremò
Code Red fu un worm informatico scoperto il 13 luglio 2001. Era progettato per colpire i server web Microsoft, sfruttando una vulnerabilità che permetteva l'esecuzione di codice da remoto senza autenticazione. Una volta infettato un sistema, il worm si replicava autonomamente, sostituendo la home dei siti web ospitati sui server colpiti con la scritta "Hacked by Chinese!" e lanciando attacchi DDoS (Distributed Denial of Service) diretti a vari obiettivi, incluso il sito ufficiale della Casa Bianca.
Il worm operava in modo ciclico: si replicava per i primi 20 giorni del mese, poi lanciava gli attacchi DoS e infine entrava in modalità dormiente. Code Red infettò oltre 350.000 server in poche ore dalla sua infezione primaria. Poiché attaccava direttamente i server web, i danni non si limitarono ai singoli utenti, ma colpirono siti e servizi pubblici che ospitavano milioni di visitatori. I danni economici complessivi furono stimati in circa 2,6 miliardi di dollari.
Il nome "Code Red" fu dato dai ricercatori del team di NII Digital Security che lo scoprirono mentre stavano bevendo una bibita Mountain Dew Code Red. L'origine del worm è ancora incerta, ma il messaggio "Hacked by Chinese!" fece inizialmente pensare a un attacco geopolitico, senza però conferme ufficiali. Dopo Code Red, Microsoft iniziò a prendere più seriamente la sicurezza del software, avviando l'iniziativa Trustworthy Computing, che rivoluzionò lo sviluppo di Windows negli anni successivi.
MyDoom: il worm più veloce della storia
MyDoom, un altro worm informatico, fu scoperto il 26 gennaio 2004. Si diffondeva via e-mail con oggetti generici come "Mail Delivery System" o "Test" e conteneva un allegato infetto. Una volta aperto, il worm si installava nel sistema, raccoglieva gli indirizzi e-mail trovati nel computer e si auto-inviava a tutti i contatti, infettando esponenzialmente altre macchine.
La sua pericolosità non si limitava alla diffusione: MyDoom includeva funzionalità di backdoor che aprivano una porta sul computer infetto, consentendo a un utente remoto di accedervi e controllarlo. Era anche programmato per lanciare attacchi DDoS contro siti web specifici. MyDoom è passato alla storia come il worm con la diffusione più rapida di sempre, si stima abbia inviato oltre 250 milioni di e-mail infette in poche ore, colpendo milioni di dispositivi in tutto il mondo. Al suo apice, rappresentò il 20% di tutto il traffico e-mail globale e rallentò la velocità complessiva di Internet di circa il 10%, causando ritardi fino al 50% nella consegna delle e-mail.
I danni causati da MyDoom furono valutati tra i 30 e i 38 miliardi di dollari, rendendolo uno dei malware più costosi della storia informatica. La sua origine resta non confermata, anche se alcuni indizi puntavano verso la Russia. MyDoom evidenziò la fragilità delle infrastrutture digitali e la vulnerabilità dei sistemi di posta elettronica, spingendo alla diffusione di filtri antispam più aggressivi, politiche di sicurezza aziendale più rigide e sistemi antivirus/antimalware più avanzati. Fu anche uno dei primi worm a combinare diffusione massiva, interruzione di servizi e creazione di backdoor per il controllo remoto, anticipando modelli che sarebbero diventati comuni nei decenni successivi.
Sasser: il worm silenzioso
Sasser, un worm informatico comparso nell'aprile del 2004, si propagava senza alcun intervento dell'utente. Non si diffondeva tramite e-mail o allegati, ma sfruttava una vulnerabilità nel servizio LSASS (Local Security Authority Subsystem Service) di Windows, che gestisce le politiche di sicurezza locali del sistema operativo. Una volta infettato un computer, Sasser scansionava la rete alla ricerca di altri sistemi vulnerabili, sfruttando la falla per accedere e replicarsi automaticamente.
Una volta all'interno, Sasser causava riavvii continui e instabilità del sistema, rendendo il PC praticamente inutilizzabile. Colpiva solo computer Windows, in particolare le versioni XP e Windows 2000. A differenza di altri worm, Sasser non cercava di nascondersi: l'effetto più evidente era il riavvio improvviso e continuo del computer, spesso accompagnato da un conto alla rovescia di 60 secondi che non poteva essere interrotto. Le conseguenze furono gravi: molte aziende dovettero fermare le attività e ripristinare i sistemi, con danni stimati a circa mezzo miliardo di dollari.
Il creatore di Sasser fu identificato in Sven Jaschan, un ragazzo tedesco di 17 anni che studiava informatica. Ironia della sorte, Jaschan intendeva dimostrare l'inefficacia di molti antivirus. Sasser dimostrò che le vulnerabilità nei sistemi Windows potevano avere un impatto globale rapidissimo e che non era necessaria l'interazione dell'utente per causare danni enormi, mostrando come anche un singolo individuo con conoscenze medie e cattive intenzioni potesse mettere in ginocchio interi settori industriali e pubblici.
Zeus: il re dei Trojan
Zeus è un Trojan bancario scoperto per la prima volta nel 2007. A differenza dei virus "esplosivi" come ILOVEYOU, Zeus operava in modo silenzioso e furtivo, con l'unico obiettivo di rubare informazioni sensibili: credenziali bancarie, numeri di carte di credito, password e altri dati personali che venivano poi usati in maniera malevola. Una volta installato sul computer della vittima, solitamente tramite phishing o allegati infetti, Zeus registrava con un keylogger ogni tasto digitato e poteva intercettare le credenziali inserite nei moduli dei siti web, anche su connessioni HTTPS (come quelle bancarie). Inoltre, era in grado di modificare le pagine delle banche in tempo reale per ingannare ulteriormente l'utente e fargli rivelare dati aggiuntivi.
Zeus si è rivelato uno dei malware più diffusi e longevi sul web, evolvendosi nel tempo con centinaia di varianti. Si stima abbia infettato milioni di computer in tutto il mondo. Uno dei motivi della sua diffusione fu la sua facile vendita nel dark web come un kit pronto all'uso, rendendolo accessibile anche a criminali senza grandi competenze tecniche. Zeus ha causato centinaia di milioni di dollari in furti diretti dai conti bancari; l'FBI ha stimato oltre 100 milioni di dollari rubati solo negli Stati Uniti, ma la cifra globale potrebbe essere molto più alta. In alcuni casi, Zeus ha svuotato interi conti correnti in pochi minuti. Questo malware è stato collegato a cybercriminali russi e ucraini, in particolare a un hacker con il nome in codice "Slavic", considerato uno dei principali creatori e gestori della sua botnet. Zeus ha avuto un impatto profondo sulla sicurezza bancaria online, accelerando l'introduzione e l'adozione dell'autenticazione a due fattori.
StormWorm: la tempesta delle botnet
StormWorm, un Trojan-Worm apparso per la prima volta nel gennaio 2007, sfruttava una classica tecnica di ingegneria sociale, convincendo l'utente ad aprire un allegato o a cliccare su un link con la promessa di un video o una notizia scioccante. Una volta eseguito il file, il malware infettava il sistema e lo agganciava a una botnet, una rete di computer "zombie" controllati da remoto dagli autori del worm.
StormWorm non si limitava a una singola funzione: rubava informazioni personali, inviava spam, scaricava altri malware e poteva essere usato per lanciare attacchi DDoS massicci. Soprattutto, si autoproteggeva con tecniche di evasione e offuscamento molto avanzate per l'epoca. Ha infettato fino a 10 milioni di computer, creando una delle botnet più grandi del tempo. Non esiste una cifra unica per i danni di StormWorm, ma si stima che il suo impatto economico abbia superato i 2 miliardi di dollari. L'origine non è mai stata dichiarata con certezza, anche se numerose analisi indicavano una probabile provenienza dalla Russia o dall'Europa dell'Est.
A differenza di altri malware, StormWorm era altamente modulare e gli aggressori lo usavano come una piattaforma criminale "tuttofare", piuttosto che per un obiettivo specifico. Era costruito con un'architettura peer-to-peer, una novità per l'epoca, che rendeva estremamente difficile disattivare la botnet poiché non esisteva un singolo server centrale da bloccare.
Stuxnet: la prima, vera, "cyber-arma"
Stuxnet è un worm altamente sofisticato scoperto nel giugno del 2010, ma probabilmente attivo già tra il 2007 e il 2008. A differenza della maggior parte dei virus che miravano a rubare dati o infettare il maggior numero possibile di computer, Stuxnet fu progettato per un unico obiettivo: sabotare le centrifughe nucleari iraniane dell'impianto di Natanz, rallentando il programma nucleare del paese.
Stuxnet si diffondeva tramite chiavette USB e sfruttava almeno quattro vulnerabilità zero-day di Windows, un numero elevato per un singolo malware. Una volta all'interno della rete, si infiltrava nei sistemi SCADA (Sistemi di Controllo e Acquisizione Dati) industriali prodotti da Siemens e manipolava i PLC (Controllori Logici Programmabili), ovvero i dispositivi che controllano fisicamente le macchine industriali. Nel caso di Natanz, Stuxnet alterava silenziosamente la velocità di rotazione delle centrifughe, causando danni fisici e distruggendole, ma senza far scattare gli allarmi nei software di monitoraggio, che continuavano a riportare dati normali.
L'impatto sull'Iran fu concreto: oltre 1.000 centrifughe furono distrutte, ritardando di uno o due anni il programma nucleare iraniano e infliggendo un'umiliazione strategica con conseguenze geopolitiche significative. Il danno economico diretto è difficile da quantificare, essendo legato a un programma militare, ma si stima non sia inferiore a mezzo miliardo di dollari. Stuxnet è considerata la prima cyber-arma mai creata al mondo. Indagini e analisi indicarono che l'operazione fu condotta congiuntamente da Stati Uniti e Israele sotto il nome in codice Operazione Olympic Games, autorizzata dall'amministrazione Bush e proseguita con l'amministrazione Obama. Fu un attacco militare digitale mascherato da malware, segnando di fatto l'inizio della cyberguerra.
CryptoLocker: l'alba dei ransomware su grande scala
CryptoLocker fu uno dei primi ransomware su larga scala a crittografare realmente i file delle vittime con una chiave di cifratura pubblica/privata. Fu scoperto per la prima volta nel settembre del 2013. Si diffondeva tramite e-mail di phishing, spesso mascherate da comunicazioni ufficiali (fatture, spedizioni, documenti aziendali) con allegati file ZIP compressi o PDF infetti.
Una volta eseguito, il ransomware iniziava immediatamente a scansionare il disco rigido e i dispositivi di rete, cifrando documenti, immagini, fogli Excel e altri file. Al termine della cifratura, appariva una schermata che notificava alla vittima il blocco dei file e chiedeva un riscatto in Bitcoin (solitamente tra i 300 e i 500 dollari) entro 72 ore per ricevere la chiave di decrittazione. Il malware era progettato per distruggere la chiave privata se il pagamento non veniva effettuato in tempo, rendendo di fatto impossibile recuperare i file.
CryptoLocker ha colpito oltre 500.000 computer in tutto il mondo. La diffusione fu facilitata da una botnet chiamata Game Over Zeus, una versione evoluta del Trojan Zeus, che distribuì CryptoLocker in maniera massiccia. Il gruppo dietro questo ransomware riuscì a raccogliere almeno 3 milioni di dollari in Bitcoin nei primi mesi di attività, ma i danni collaterali furono molto più ampi. Le stime valutano danni economici complessivi attorno ai 30 milioni di dollari, probabilmente sottostimati a causa della riluttanza di molte aziende a denunciare l'accaduto. CryptoLocker è stato associato a un gruppo di cybercriminali con base nell'Europa dell'Est, ma i veri responsabili non sono mai stati ufficialmente identificati. Tuttavia, nel 2014, un'operazione internazionale congiunta tra FBI, Europol e Kaspersky Lab portò allo smantellamento della botnet Game Over Zeus, veicolo di diffusione del ransomware.
WannaCry: l'epidemia che bloccò i sistemi sanitari
WannaCry fu un ransomware che colpì i sistemi Windows nel maggio del 2017, sfruttando una vulnerabilità chiamata EternalBlue, originariamente sviluppata dalla NSA. Il malware criptava i file dei computer infetti e mostrava un messaggio chiedendo un riscatto di 300 dollari in Bitcoin, minacciando di cancellare i file entro pochi giorni se il pagamento non fosse stato effettuato.
La peculiarità di WannaCry fu la sua capacità di autoreplicarsi all'interno delle reti, infettando interi sistemi aziendali e pubblici da un singolo computer, senza necessità di interazione umana. In meno di 24 ore, WannaCry infettò oltre 230.000 computer in 150 paesi. Tra le vittime più colpite ci furono il Sistema Sanitario Nazionale britannico (con oltre 70.000 dispositivi paralizzati, tra PC, scanner e strumenti diagnostici), Renault-Nissan (che fermò la produzione in diversi impianti), FedEx, Telefónica, Deutsche Bahn e università cinesi. I danni economici stimati di WannaCry ammontano a circa 4 miliardi di dollari.
Secondo le indagini, l'attacco fu attribuito a un gruppo nordcoreano chiamato Lazarus, con un movente apparentemente economico. La diffusione di WannaCry si interruppe quando un giovane ricercatore britannico scoprì una sorta di "kill switch" all'interno del codice (un dominio web non registrato che, se attivato, bloccava la propagazione), lo registrò e così salvò centinaia di migliaia di macchine. WannaCry ebbe un impatto profondo sulla percezione globale del rischio informatico: molte aziende si resero conto che l'applicazione tempestiva delle patch era fondamentale, che l'uso di sistemi obsoleti come Windows XP andava dismesso e che era necessario dotarsi di soluzioni di backup e disaster recovery efficaci. WannaCry rimane tutt'oggi un caso di studio su quanto una semplice vulnerabilità e una scarsa preparazione alla sicurezza possano trasformarsi in una crisi globale in meno di un giorno.
NotPetya: il "Wiper" mascherato da ransomware
NotPetya, un "wiper" mascherato da ransomware, fu scoperto il 27 giugno 2017. In apparenza, si comportava come un ransomware, bloccando l'accesso ai dati e chiedendo un riscatto di 300 dollari in Bitcoin. In realtà, il suo scopo non era ottenere denaro, ma distruggere in maniera irreversibile i sistemi colpiti. Il malware si diffuse inizialmente tramite M.E.Doc, un software contabile obbligatorio per le aziende ucraine. Una volta installato, NotPetya sfruttava la vulnerabilità EternalBlue (la stessa di WannaCry) per ottenere le credenziali e poi spostarsi e infettare altri sistemi nella rete.
Il vero danno, però, risiedeva nella cifratura irreversibile del disco: anche pagando il riscatto, i file non potevano essere sbloccati o recuperati, rendendo NotPetya di fatto una cyber-arma di distruzione e non un vero ransomware. Sebbene l'obiettivo iniziale fosse l'Ucraina, questo virus si diffuse rapidamente anche fuori dai confini nazionali, infettando migliaia di aziende in tutto il mondo. La portata dell'attacco fu tale che alcune aziende persero l'accesso ai propri sistemi per settimane, con interruzioni delle supply chain, ritardi nei trasporti, perdite di dati aziendali e danni pesanti al business. Le stime di danno variano tra i 10 e i 20 miliardi di dollari.
L'attribuzione di questo virus, con un alto grado di certezza, ricade sul gruppo Sandworm, legato al GRU (i servizi segreti militari russi). L'obiettivo era chiaramente l'Ucraina, e l'attacco fu una parte, o un inizio, del conflitto che qualche anno fa ha portato all'attuale guerra.
Questo elenco dei virus più devastanti della storia ci mostra come la minaccia informatica sia in costante evoluzione, passando da attacchi generalizzati a minacce sempre più mirate e sofisticate, con ripercussioni economiche e geopolitiche crescenti. Ci ricorda l'importanza di una vigilanza costante e di un approccio proattivo alla cibersicurezza.
.jpg)
