L’arma segreta degli hacker

Cinque mesi prima che DarkSide attaccasse il Colonial Pipeline, due ricercatori hanno scoperto un modo per salvare le vittime, ma un annuncio di una società di antivirus ha messo in allarme gli hacker.

di Renee Dudley e Daniel Golden

L’11 gennaio, la società di antivirus Bitdefender si è detta “felice di annunciare” una svolta sorprendente. Aveva trovato un difetto nel ransomware che una banda nota come DarkSide stava usando per congelare le reti di computer di dozzine di aziende negli Stati Uniti e in Europa. Le aziende che dovevano far fronte alle richieste di DarkSide avrebbero potuto scaricare uno strumento gratuito da Bitdefender ed evitare di pagare milioni di dollari in riscatto agli hacker.

Ma  Bitdefender  non è stata la prima a identificare questo difetto. Altri due ricercatori, Fabian Wosar e  Michael Gillespie, l’avevano notato il mese prima e avevano iniziato a cercare con discrezione di aiutare le vittime. Pubblicizzando il suo software, Bitdefender ha avvertito DarkSide dell’errore, che ha comportato il riutilizzo delle stesse chiavi digitali per bloccare e sbloccare più vittime. 

Il giorno successivo, DarkSide ha dichiarato di aver risolto il problema e che le nuove aziende non avevano nulla da sperare. “Un ringraziamento speciale a BitDefender per averci aiutato a risolvere i nostri problemi”, ha detto DarkSide. “Questo ci renderà ancora migliori”.

DarkSide ha presto dimostrato che non stava bluffando, scatenando una serie di attacchi. Questo mese, ha paralizzato la Colonial Pipeline Co., provocando la chiusura del gasdotto di 9.000 km che trasporta il 45 per cento del carburante utilizzato sulla costa orientale, seguito rapidamente da un aumento dei prezzi della benzina, dal panico d’acquisto di gas in tutto il sud-est, e la chiusura di migliaia di distributori di benzina. In assenza dell’annuncio di Bitdefender, è possibile che la crisi sarebbe stata contenuta e che Colonial ripristinasse il suo sistema con lo strumento di decrittazione di Wosar e Gillespie.

Invece, Colonial ha pagato DarkSide 4,4 milioni di dollari in Bitcoin per una chiave per sbloccare i suoi file. “Devo ammettere che non mi sentivo a mio agio nel vedere i soldi andare a persone simili”, ha detto al “Wall Street Journal” il CEO Joseph Blount. L’opportunità persa fa parte di una lunga serie di risposte pasticciate o poco convinte alla crescente minaccia dei ransomware, che durante la pandemia ha disabilitato aziende, scuole, ospedali e agenzie governative in tutto il paese. 

L’incidente mostra anche come le aziende di antivirus desiderose di farsi un nome a volte violano una delle regole cardinali del gioco del gatto e del topo della guerra informatica: non far sapere ai tuoi avversari quello che hai capito. Durante la seconda guerra mondiale, quando i servizi segreti britannici appresero da comunicazioni decrittografate che la Gestapo stava progettando di rapire e uccidere un prezioso agente doppiogiochista, Johnny Jebsen, a chi lo dirigeva non fu permesso di avvertirlo per paura di far capire al nemico che il suo codice era stato rotto. 

Oggi, i “cacciatori” di ransomware come Wosar e Gillespie cercano di prolungare l’ignoranza degli aggressori, anche a costo di contattare meno vittime. Presto o tardi, quando i pagamenti diminuiscono, i criminali informatici si rendono conto che qualcosa è andato storto. La promozione di uno strumento di decrittazione è una “decisione calcolata. Non diffondere i bug dei ransomware consente di decodificare i dati segreti, in modo da non avvisare gli autori delle minacce”, ha affermato Rob McLeod, direttore senior dell’unità di risposta alle minacce per la società di sicurezza informatica eSentire.

Wosar ha affermato che rilasciare pubblicamente strumenti, come ha fatto Bitdefender, è diventato più rischioso poiché i riscatti si sono alzati di prezzo e le bande sono diventate più ricche e tecnicamente più esperte. Agli albori del ransomware, quando gli hacker congelavano i computer di casa per poche centinaia di dollari, spesso non erano in grado di determinare in che modo il loro codice era stato danneggiato a meno che il difetto non fosse stato specificamente segnalato loro.

Oggi, i creatori di ransomware “hanno accesso a reverse engineer e penetration tester di alto livello”, ha detto. “È così che ottengono l’accesso a queste reti spesso altamente protette. Scaricano il decryptor, lo smontano, lo decodificano e capiscono esattamente perché siamo stati in grado di decrittografare i loro file. E 24 ore dopo, il tutto è stato risolto. Bitdefender avrebbe dovuto saperlo”.

Non era la prima volta che Bitdefender aveva strombazzato una soluzione già scoperta da Wosar o Gillespie. 
Quest’ultimo aveva violato il codice di un ceppo ransomware chiamato GoGoogle e stava aiutando le vittime senza clamore, quando Bitdefender ha rilasciato uno strumento di decrittazione nel maggio 2020. Altre aziende si sono comportate nello stesso modo, hanno detto Wosar e Gillespie. “Le persone sono alla disperata ricerca di notizie e le grandi società di sicurezza non si preoccupano delle vittime”, ha detto Wosar.

Bogdan Botezatu, direttore della ricerca sulle minacce presso Bitdefender di Bucarest, in Romania, ha detto che la società non era a conoscenza del precedente successo nello sblocco dei file infettati da DarkSide. Indipendentemente da ciò, ha affermato, Bitdefender ha deciso di pubblicare il suo strumento “perché la maggior parte delle vittime colpite dal ransomware non sanno dove chiedere aiuto”. Bitdefender ha fornito supporto tecnico gratuito a più di una dozzina di vittime di DarkSide e “nel corso degli anni, abbiamo aiutato privati e aziende a evitare di pagare più di 100 milioni di dollari di riscatto”, ha affermato.

L’attacco al Colonial Pipeline e il conseguente caos alle pompe di benzina in tutto il sud-est sembrano aver spinto il governo federale a essere più vigile. Il presidente Joe Biden ha emesso un ordine esecutivo per migliorare la sicurezza informatica e creare un modello per una risposta federale agli attacchi informatici. DarkSide ha detto che si stava sciogliendo sotto la pressione degli Stati Uniti, sebbene le squadre di ransomware abbiano spesso usato questa tattica per evitare controlli e poi si sono riformate con nuovi nomi.

Almeno fino a oggi, i ricercatori privati e le aziende sono stati spesso più efficaci del governo nella lotta al ransomware. Lo scorso ottobre, Microsoft ha interrotto l’infrastruttura di Trickbot, una rete di oltre 1 milione di computer infetti che ha diffuso il famigerato ceppo Ryuk di ransomware, disabilitando i suoi server e le comunicazioni. Quel mese, ProtonMail, il servizio di posta elettronica con sede in Svizzera, ha chiuso 20.000 account relativi a Ryuk.

Wosar e Gillespie, che appartengono a un gruppo di volontari mondiale chiamato Ransomware Hunting Team, hanno decifrato più di 300 ceppi principali e varianti di ransomware, risparmiando a circa 4 milioni di vittime il pagamento di miliardi di dollari. Al contrario, l’FBI raramente decrittografa il ransomware o arresta gli aggressori, che di solito hanno sede in paesi come la Russia o l’Iran che non hanno accordi di estradizione con gli Stati Uniti. Si ritiene che DarkSide, per esempio, operi fuori dalla Russia. Molte più vittime cercano aiuto da squadra di “cacciatori”, attraverso i siti web gestiti dai suoi membri, che dall’FBI.

Il servizio segreto degli Stati Uniti indaga anche sul ransomware, che rientra nella sua competenza nella lotta ai crimini finanziari. Ma, soprattutto negli anni delle elezioni, a volte allontana gli agenti dagli incarichi informatici per proteggere i presidenti, i vicepresidenti, i candidati dei principali partiti e le loro famiglie. Le forze dell’ordine europee, in particolare la polizia nazionale olandese, hanno avuto più successo degli Stati Uniti nell’arresto di aggressori e nel sequestro di server.

Allo stesso modo, il governo degli Stati Uniti ha fatto solo modesti progressi nello spingere l’industria privata, comprese le società di gasdotti, a rafforzare le difese della sicurezza informatica. La supervisione della sicurezza informatica è suddivisa in una zuppa alfabetica di agenzie, che ostacola il coordinamento. Il Department of Homeland Security conduce “valutazioni di vulnerabilità” per le infrastrutture critiche, che includono i gasdotti, e ha esaminato Colonial Pipeline intorno al 2013 come parte di uno studio sui luoghi in cui un attacco informatico avrebbe potuto causare una catastrofe e lo ha ritenuto difficilmente attaccabile. 

Cinque anni dopo, il DHS ha dato vita a un’iniziativa sulla sicurezza informatica della pipeline per identificare i punti deboli nei suoi sistemi informatici e consigliare strategie per affrontarli. La partecipazione era su base volontaria e una persona che ha familiarità con l’iniziativa ha affermato che era più utile per le aziende più piccole con competenze IT interne limitate rispetto a quelle grandi come Colonial. Il National Risk Management Center, che sovrintende all’iniziativa, è alle prese anche con altre questioni spinose come la sicurezza elettorale.

Il ransomware ha avuto un balzo in avanti dal 2012

Con l’avvento di Bitcoin è diventato difficile tracciare o bloccare i pagamenti. Le tattiche dei criminali si sono evolute da campagne indiscriminate alla ricerca di poche centinaia di dollari ciascuna al prendere di mira aziende specifiche, agenzie governative e gruppi senza scopo di lucro con richieste multimilionarie. Gli attacchi alle aziende energetiche in particolare sono aumentati durante la pandemia, non solo negli Stati Uniti ma in Canada, America Latina ed Europa. Poiché le aziende hanno consentito ai dipendenti di lavorare da casa, hanno allentato alcuni controlli di sicurezza, ha affermato McLeod.

Dal 2019, numerose bande hanno aumentato la pressione con una tecnica nota come “doppia estorsione”. Entrando in un sistema, rubano dati sensibili prima di lanciare un ransomware che codifica i file e rende impossibile per gli ospedali, le università e le città svolgere il loro lavoro quotidiano. Se la perdita dell’accesso al computer non è sufficientemente intimidatoria, minacciano di rivelare informazioni riservate, spesso pubblicando qualcosa di compromettente come leva. 

Per esempio, quando il dipartimento di polizia di Washington, DC, non ha pagato il riscatto di 4 milioni di dollari richiesto da una banda chiamata Babuk il mese scorso, quest’ultima ha pubblicato briefing dell’intelligence, nomi di sospetti, testimoni criminali e file del personale, dalle informazioni mediche al test del poligrafo di funzionari.

DarkSide ha scelto obiettivi sulla base di un’attenta analisi finanziaria o di informazioni raccolte dalle e-mail aziendali. Per esempio, ha attaccato uno dei clienti di Tantleff durante una settimana in cui gli hacker sapevano che l’azienda sarebbe stata vulnerabile perché stava trasferendo i suoi file nel cloud e non disponeva di backup puliti.

Per infiltrarsi nelle reti di destinazione, il gruppo ha utilizzato metodi avanzati come gli “attacchi zero-day” che sfruttano le vulnerabilità del software prima che possano essere riparate. Una volta all’interno, si è mosso rapidamente, alla ricerca non solo di dati sensibili ma anche della polizza assicurativa informatica della vittima, in modo da poter ancorare le sue richieste alla quantità di copertura. Dopo due o tre giorni di tentativi, DarkSide ha crittografato i file.

“Hanno una finestra di attacco più rapida”, ha affermato Christopher Ballod, amministratore delegato associato per il rischio informatico di Kroll, la società di indagini aziendali, che ha consigliato una mezza dozzina di vittime di DarkSide. In genere, le richieste di DarkSide erano “nella fascia alta della scala”, da 5 milioni di dollari in su, ha detto Ballod. Una tattica spaventosa: se le aziende quotate in borsa non avessero pagato il riscatto, DarkSide ha minacciato di condividere le informazioni rubate loro con venditori allo scoperto che avrebbero tratto profitto se il prezzo delle azioni fosse sceso al momento della pubblicazione.

Il sito di DarkSide sul dark web ha identificato dozzine di vittime e ha descritto i dati riservati che sosteneva di aver rubato loro. Uno era lo studio legale di New Orleans Stone Pigman Walther Wittmann. “E’ stato molto fastidioso”, ha detto l’avvocato Phil Wittmann, riferendosi all’attacco di DarkSide a febbraio. “ma non abbiamo pagato loro nulla”, ha detto Michael Walshe Jr., presidente del comitato di gestione dell’azienda, rifiutandosi di commentare ulteriormente.

Lo scorso novembre, DarkSide ha  adottato quello che è noto come un modello “ransomware-as-a-service”. In base a questo modello, ha collaborato con gli affiliati che hanno lanciato gli attacchi e hanno ricevuto dal 75 al 90 per cento del riscatto, con DarkSide che ha trattenuto il resto. Come suggerisce questa partnership, l’ecosistema del ransomware è uno specchio distorto della cultura aziendale, dai colloqui di lavoro alle procedure per la gestione delle controversie. Dopo la chiusura di DarkSide, diverse persone che si sono identificate come affiliate si sono lamentate in un forum per la risoluzione delle controversie che le aveva bloccate. “L’obiettivo è stato centrato, ma non ho ricevuto la mia parte”, ha scritto uno di loro.

Insieme, DarkSide e le sue affiliate avrebbero incassato almeno 90 milioni di dollari. Sette dei clienti di Tantleff, comprese due aziende del settore energetico, hanno pagato riscatti che vanno da 1,25 milioni a 6 milioni di dollari, con forti sconti rispetto alle richieste iniziali che andavano dai 7,5 ai 30 milioni di dollari. I suoi altri tre clienti colpiti da DarkSide non hanno pagato. In uno di questi casi, gli hacker hanno chiesto 50 milioni di dollari. I negoziati si sono fatti aspri e le due parti non sono riuscite a mettersi d’accordo sul prezzo.

I rappresentanti di DarkSide sono scaltri negoziatori, ha detto Tantleff. Se una vittima dice di non potersi permettee di pagare il riscatto a causa della pandemia, DarkSide è pronta con i dati che mostrano che le entrate aziendali sono aumentate o che l’impatto del covid-19 è stato preso in considerazione nel prezzo.

La conoscenza della geopolitica da parte di DarkSide si è dimostrata meno avanzata del suo approccio al ransomware. Nello stesso periodo in cui ha adottato il modello affiliativo, ha dichiarato di voler salvaguardare le informazioni rubate alle vittime archiviandole in server in Iran. Apparentemente DarkSide non si è resa conto che una connessione iraniana avrebbe complicato la sua raccolta di riscatti dalle vittime negli Stati Uniti, che sono soggette a sanzioni economiche che limitano le transazioni finanziarie con l’Iran. 

Anche se DarkSide in seguito è tornata sui suoi passi, dicendo che aveva considerato l’Iran solo come uno dei possibili luoghi, numerosi assicuratori da attacchi informatici avevano dubbi sulla copertura dei pagamenti al gruppo. Coveware, una società del Connecticut che negozia con gli aggressori per conto delle vittime, ha smesso di trattare con DarkSide.

Ballod ha affermato che con i loro assicuratori non disposti a rimborsare il riscatto, nessuno dei suoi clienti ha pagato DarkSide, nonostante le preoccupazioni per l’esposizione dei propri dati. Anche se avessero ceduto a DarkSide e avessero ricevuto assicurazioni dagli hacker in cambio che i dati sarebbero stati distrutti, le informazioni sarebbero potute comunque trapelare, ha detto.

La lotta dei gruppi antiransomware

Durante il passaggio di DarkSide al modello affiliativo, è stata introdotta una falla nel suo ransomware. La vulnerabilità ha attirato l’attenzione dei membri del Ransomware Hunting Team. Istituito nel 2016, il team solo su invito è composto da circa una dozzina di volontari negli Stati Uniti, in Spagna, Italia, Germania, Ungheria e Regno Unito. Lavorano nella sicurezza informatica o in campi correlati. Nel tempo libero collaborano alla ricerca e alla decrittografia di nuovi ceppi di ransomware.

Diversi membri, incluso Wosar, hanno poca istruzione formale ma un’attitudine alla programmazione. Abbandonato il liceo, Wosar è cresciuto in una famiglia operaia vicino alla città portuale tedesca di Rostock. Nel 1992, all’età di otto anni, vide per la prima volta un computer e ne rimase estasiato. A 16 anni stava sviluppando il proprio software antivirus, con profitto. Ora 37enne, chief technology officer della società di antivirus Emsisoft. Si è trasferito nel Regno Unito dalla Germania nel 2018 e vive vicino a Londra.

Ha combattuto contro i ransomware dal 2012, quando ha decifrato un ceppo chiamato ACCDFISA, che stava per “Anti Cyber Crime Department of Federal Internet Security Agency”. Questa agenzia fittizia stava notificando alle persone che la pornografia infantile aveva infettato i loro computer, e quindi stava bloccando l’accesso ai loro file a meno che non avessero pagato 100 dollari per rimuovere il virus.

L’hacker di ACCDFISA alla fine ha notato che il ceppo era stato decrittografato e ha rilasciato una versione rivista. Anche molti dei successivi trionfi di Wosar sono stati fugaci. Lui e il suo team hanno cercato di mantenere i criminali beatamente inconsapevoli il più a lungo possibile della vulnerabilità. Hanno lasciato messaggi criptici sui forum invitando le vittime a contattarli per assistenza o hanno inviato messaggi diretti a persone che hanno postato di essere state attaccate.

Nel corso della protezione contro le intrusioni di computer, gli analisti delle aziende antivirus a volte hanno rilevato difetti del ransomware e hanno creato strumenti di decrittazione, sebbene non fosse il loro obiettivo principale. Nel 2014, Wosar ha scoperto che un ceppo ransomware chiamato CryptoDefense ha copiato e incollato da Microsoft Windows parte del codice utilizzato per bloccare e sbloccare i file, non rendendosi conto che lo stesso codice era conservato in una cartella sul computer della vittima. Mancava il segnale, o “flag”, nel loro programma, solitamente incluso dai creatori di ransomware per istruire Windows a non salvare una copia della chiave.

Wosar ha sviluppato rapidamente uno strumento di decrittazione per recuperare la chiave. “Abbiamo affrontato un problema interessante”, ha scritto Sarah White, un altro membro dell’Hunting Team, sul blog di Emsisoft. “Come portare il nostro strumento al maggior numero di vittime possibile senza avvisare lo sviluppatore del malware del suo errore?”.

Wosar ha cercato discretamente le vittime di CryptoDefense attraverso forum di supporto, reti di volontari e annunci su chi contattare per chiedere aiuto. Evitava di descrivere come funzionava lo strumento o l’errore che sfruttava. Quando le vittime si sono fatte avanti, ha fornito la correzione, cancellando il ransomware da almeno 350 computer. CryptoDefense “non aveva accesso al decrypter che abbiamo usato e non aveva idea di come stessimo sbloccando i file delle sue vittime”, ha scritto White.

Ma poi una società di antivirus, Symantec, ha scoperto lo stesso problema e si è vantata della scoperta in un post sul blog che “conteneva informazioni sufficienti per aiutare lo sviluppatore di CryptoDefense a trovare e correggere il difetto”, ha scritto White. Entro 24 ore gli aggressori hanno iniziato a diffondere una versione rivista. Hanno cambiato il suo nome in CryptoWall e hanno  guadagnato 325 milioni di dollari. Symantec “ha scelto la pubblicità rapida piuttosto che aiutare le vittime di CryptoDefense a recuperare i propri file”, ha scritto White.

Una portavoce di Broadcom, che ha acquisito l’attività di sicurezza aziendale di Symantec nel 2019, ha rifiutato di commentare, affermando che “i membri del team che hanno lavorato allo strumento non sono più con l’azienda”. 

In un post sul dark web, DarkSide ha ringraziato Bitdefender per aver identificato un difetto nel ransomware della banda. (Evidenziazione aggiunta da ProPublica)

L’Hunting Team

Come Wosar, il 29enne  Gillespie proviene da una famiglia povera e non è mai andata al college. Dopo il liceo, ha lavorato a tempo pieno per 10 anni presso una catena di riparazioni di computer chiamata Nerds on Call. L’anno scorso è diventato un ricercatore di malware e sicurezza informatica presso Coveware.

Lo scorso dicembre ha chiesto aiuto a Wosar. Gillespie aveva lavorato con una vittima di DarkSide che aveva pagato un riscatto e aveva a disposizione uno strumento per recuperare i dati. Il decryptor di DarkSide aveva la reputazione di essere lento e la vittima sperava che Gillespie potesse accelerare il processo. Gillespie ha analizzato il software, che conteneva una chiave per rilasciare i file. Voleva estrarre la chiave, ma poiché era archiviata in un modo insolitamente complesso, non poteva. Si rivolse a Wosar, che riuscì nell’impresa.

I compagni di squadra hanno quindi iniziato a testare la chiave su altri file infettati da DarkSide. Gillespie ha controllato i file caricati dalle vittime sul sito Web che gestisce, ID Ransomware, mentre Wosar ha utilizzato VirusTotal, un database online di sospetti malware. Una notte, hanno condiviso una scoperta.

“Ho la conferma che DarkSide sta riutilizzando le sue chiavi RSA”, ha scritto Gillespie al gruppo sul suo canale Slack. Un tipo di crittografia, RSA genera due chiavi: una chiave pubblica per codificare i dati e una chiave privata per decifrarli. L’RSA è legittimamente utilizzato per salvaguardare molti aspetti del commercio elettronico, come la protezione dei numeri di credito. Ma è stato anche cooptato da hacker esperti di ransomware.

“Ho notato lo stesso quando sono stato in grado di decrittografare i file appena crittografati utilizzando il loro decrypter”, ha risposto Wosar meno di un’ora dopo, in piena notte. La loro analisi ha mostrato che prima di adottare il modello affiliativo, DarkSide aveva utilizzato una chiave pubblica e privata diversa per ogni vittima. 

Wosar sospettava che durante questa transizione DarkSide avesse introdotto un errore nel suo portale di affiliazione utilizzato per generare il ransomware per ogni target. Wosar e Gillespie potevano ora utilizzare la chiave che Wosar aveva estratto per recuperare i file dalle macchine Windows sequestrate da DarkSide. L’errore crittografico non ha influenzato i sistemi operativi Linux.

“Eravamo perplessi”, ha detto Wosar. “Potevano davvero aver sbagliato così tanto? DarkSide era uno degli schemi di ransomware-as-a-service più professionali in circolazione. Per loro commettere un errore così grave è molto, molto raro”. L’Hunting Team si è mosso in silenzio. White, una studentessa di informatica alla Royal Holloway, uno dei college dell’Università di Londra, ha iniziato a cercare le vittime di DarkSide. Ha contattato le aziende che gestiscono la digital forensics e la risposta agli incidenti.

“Abbiamo detto loro: ‘Se conoscete delle vittime di DarkSide, dite loro di mettersi in contatto con noi perché possiamo recuperare i loro file senza pagare un riscatto’”, ha detto Wosar. Gli hacker di DarkSide hanno sferrato i loro attacchi nel periodo natalizio. Gillespie e Wosar si aspettavano che sarebbero ripartiti con il nuovo anno e che la loro scoperta avrebbe evitato nuove vittime. Ma è arrivato Darkside Ransomware Decryption Tool, il post di Bitdefender.

Il giorno successivo, DarkSide ha corretto l’errore che Wosar e Gillespie avevano riscontrato prima di Bitdefender. “A causa del problema con la generazione delle chiavi, alcune aziende hanno le stesse chiavi”, hanno scritto gli hacker, aggiungendo che il fenomeno riguardava fino al 40 per cento delle chiavi. DarkSide ha deriso Bitdefender per aver rilasciato il decryptor “nel momento sbagliato … poiché l’attività nostra e dei nostri partner durante le vacanze di fine anno è la più bassa”.

Wosar ha anche scoperto che lo strumento di Bitdefender aveva i suoi svantaggi. Utilizzando il decryptor dell’azienda, ha cercato di sbloccare i campioni infettati da DarkSide e ha scoperto che erano stati danneggiati nel processo. “Hanno effettivamente implementato la decrittazione in modo sbagliato”, ha detto Wosar. “Ciò significa che se le vittime hanno utilizzato lo strumento di Bitdefender, ci sono buone probabilità che abbiano danneggiato i dati”.

Alla domanda sulle critiche di Wosar, Botezatu ha affermato che il recupero dei dati è difficile e che Bitdefender ha “preso tutte le precauzioni per assicurarsi di non compromettere i dati degli utenti”, inclusi test esaustivi e “codice che valuta se il file decrittografato risultante è valido”.

Anche senza Bitdefender, DarkSide avrebbe potuto presto rendersi conto del suo errore comunque, hanno detto Wosar e Gillespie.  L’incidente ha portato l’Hunting Team a coniare un termine per l’esposizione prematura di una debolezza in un ceppo ransomware. “Internamente, ci scherziamo sopra, dicendo che a risolvere i problemi ci penserà Bitdefender'”, ha concluso Wosar.

Foto: Drew Angerer / Getty Images

Related Posts
Total
0
Share