La linguistica nella malware analysis

Per WannaCry tra le competenze tornate utili troviamo la linguistica. Scienza che studia il linguaggio umano

Tra i malware degli ultimi tempi, la categoria dei ransomware ha fatto parlare di sé in diversi contesti: dal cybercrime ai conflitti internazionali.

I ransomware sono dei programmi malevoli che utilizzano la crittografia per rendere illeggibile il contenuto dei file memorizzati nei dispositivi. Per poter accedere nuovamente ai propri file, la vittima viene invitata a versare un vero e proprio "riscatto" ai responsabili della truffa.

Solitamente raggiungono i computer della vittima tramite la tecnica del phishing; riceviamo, per esempio, una mail con allegata la bolletta, all’apparenza il mittente sembra il nostro fornitore di elettricità ma in realtà si tratta di una truffa. L'allegato, una volta aperto, farà partire le operazioni di crittografia sui file memorizzati.

I malware possono però diffondersi anche con metodi diversi dall'apertura di allegati sospetti, come nel caso di WannaCry, un attacco ransmoware balzato agli onori della cronaca mondiale alcuni anni fa.

Il 12 maggio del 2017 l’Inghilterra fu travolta da un attacco informatico senza precedenti, che portò in poche ore il sistema sanitario inglese al collasso; computer di ospedali e ambulatori iniziarono ad andare in crash, 19.000 appuntamenti vennero cancellati. Il servizio sanitario inglese dichiarò di aver subito un incidente grave e iniziò a mettere in atto un piano di risposta all’emergenza.

Nelle ore successive si diffusero notizie da tutto il mondo: il sistema sanitario inglese non era stato l’unico obiettivo...

Circa 230.000 computer di grandi organizzazioni, uffici pubblici e aziende vennero colpiti dallo stesso tipo di attacco informatico; dalla Russia al Portogallo così come in Francia, Stati Uniti Germania e Spagna.[1]

WannaCry si diffuse per mezzo di un worm permettendo al software malevolo di installarsi e replicarsi senza l’intervento umano. Questo portò a un incremento considerevole del numero di vittime rispetto ai precedenti casi di attacchi ransomware.

In realtà sarebbe bastato installare le patch di sicurezza di Windows rilasciate da Microsoft mesi prima per evitare le conseguenze di questo attacco; effettuare gli aggiornamenti del sistema operativo è in fondo una semplice operazione che ancora oggi sembra essere trascurata da molti.

Solitamente, come successo nel caso WannaCry, il ransomware chiede un riscatto da pagare in bitcoin per avere la chiave di decodifica, che permetterà di decifrare i dati e quindi utilizzarli nuovamente.

Attribuire le responsabilità di un attacco nei reati informatici è un'attività complessa, per poter svolgere un'indagine efficace serve infatti il coninvolgimento di un team di professionisti con competenze in varie discipline.

Per WannaCry, tra le competenze tornate utili troviamo la linguistica. Definita dal vocabolario Treccani:“ – Scienza che studia sistematicamente il linguaggio umano nella totalità delle sue manifestazioni, e quindi le lingue come istituti storici e sociali, la loro ripartizione, i loro reciproci rapporti, nonché la funzionalità delle singole lingue sotto differenti aspetti (fonetico, sintattico, lessicale, semantico), sia nella struttura con cui si presentano in un determinato momento della loro storia sia nella loro evoluzione attraverso il tempo [...]”

Al riavvio del computer infettato da WannaCry, appariva nella schermata principale un conto alla rovescia, l’indirizzo a un wallet bitcoin per poter inviare il pagamento e le istruzioni in circa 30 lingue; proprio l’analisi linguistica dei testi è stata utilizzata dai ricercatori per ottenere informazioni utili.

Schermata WannaCry (Wikipedia)

Tutte le traduzioni risultarono effettuate con Google Translate, tutte tranne tre: quella inglese e due di quelle cinesi. La sola versione inglese conteneva un errore grammaticale, le due cinesi al contrario erano del tutto corrette, oltre che più lunghe e articolate. Per comprendere il contesto teniamo presente che il cinese è una definizione generica, infatti la famiglia linguistica è composta da centinaia di varianti locali distinte e spesso non intelligibili tra loro.

Il solo utilizzo dell’analisi linguistica non può darci la certezza in merito all’attribuzione della responsabilità, ma è sicuramente un’informazione da prendere in considerazione; sopratutto se unita all'analisi del codice sorgente, con cui possiamo venire a conoscenza di analogie rispetto ad altri malware già noti.

Ad oggi la responsabilità viene presumibilmente attribuita al governo Nordcoreano [2]; l’analisi linguistica, seppur semplice in questo caso, è coerente con le analisi effettuate in altri ambiti.


Fonti:

[1] #cybercrime  Attacchi globali, conseguenze locali di Carola Frediani Hoepli ediore ISBN: 9788820389208
[2] https://www.corrierecomunicazioni.it/cyber-security/wannacry-usa-attaccano-corea-del-nord-responsabile-dellattacco/