WannaCry non aveva nessun “interruttore d’emergenza”

Giu 26, 2017 Marco Schiaffino In evidenza, Malware, News, RSS 0

Il “Kill Switch” che ha bloccato il ransomware non era voluto. Mikko Hyppönen di F-Secure: “Era pensato per aggirare l’analisi degli esperti di sicurezza”.

A distanza di settimane dall’attacco di WannaCry, continuano a emergere nuovi dettagli che spiegano meglio come sono andate le cose. Durante una visita ai laboratori di F-secure a Helsinki abbiamo avuto occasione di intervistare Mikko Hyppönen, storico ricercatore ed esperto di sicurezza, che ci ha che il ransomware avrebbe potuto causare molti più danni di quanti ne abbia fatti.

“Non importa quello che vi hanno raccontato” esordisce Hyppönen. “Wannacry non aveva nessun interruttore di emergenza per bloccarne la diffusione”.

Il riferimento è a quello che è stato definito il Kill Switch scoperto dal ricercatore Darien Huss all’interno di WannaCry. Poche righe di codice, che prevedevano che il malware provasse a collegarsi a un dominio Internet dal nome particolarmente astruso (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) prima di agire.

Quello che è successo è noto: Darien Huss ha controllato il dominio e ha scoperto che non era registrato. Senza sapere quello che stava facendo, poi, Huss è riuscito a mettere K.O. WannaCry con una semplice mossa: registrando il dominio per una somma inferiore a 15 dollari.

Come si è scoperto in seguito, infatti, il ransomware utilizzava il collegamento al dominio in questione come una sorta di verifica: se il sito risultava inesistente, avviava la crittografia dei dati sul computer infetto e cominciava a eseguire uno scan di Internet per diffondersi su altri PC. Se il sito rispondeva, WannaCry cessava qualsiasi attività e diventava innocuo.

L’interpretazione “a caldo” di questo meccanismo è stata che i pirati informatici che hanno creato il ransomware lo avessero inserito per poterne bloccare la diffusione in caso di necessità. Hyppönen, però, ha un’altra spiegazione.

“Il sistema di controllo di quel dominio è un semplice stratagemma per evitare che le società di sicurezza individuino e analizzino il malware” spiega il ricercatore finlandese.

Si tratta, in realtà, di una strategia che molti pirati informatici adottano per rendere più “longevi” i loro malware. Nello scenario attuale, infatti, le società che si occupano di sicurezza utilizzano intere reti di “computer sonda” (i cosiddetti HoneyPot – ndr) il cui compito è quello di fare da esca per raccogliere campioni dei malware che circolano su Internet.

Si tratta di macchine virtuali che permettono ai ricercatori di analizzare e studiare il comportamento di file e programmi per capire se siano pericolosi o meno. Grazie a questo sistema è possibile, in definitiva, ridurre i tempi di reazione per istruire i software antivirus e bloccare la diffusione dei malware.

Nulla di strano, quindi, nel fatto che i pirati informatici usino degli stratagemmi per evitare che tutto questo accada. Il sistema più comune è quello di programmare il malware per eseguire alcuni controlli che gli permettono di capire se si trova in un ambiente virtuale creato ad hoc per analizzarne il comportamento.

Mikko Hyppönen è uno dei ricercatori più conosciuti nel settore. La sua interpretazione del “sistema di arresto” di WannaCry spiega finalmente che cosa sia successo in quelle concitate ore.

“Le macchine virtuali che usiamo per analizzare i software potenzialmente pericolosi cercano di assecondare l’attività dei malware in modo da poterne studiare il comportamento” spiega Hyppönen. “Quando cercano di collegarsi a un sito, per esempio a Google.com, l’ambiente che abbiamo creato risponde come quello reale, ma ingannandoli: gli facciamo credere di essere collegati a Google, ma in realtà sono sempre in uno spazio chiuso”.

Il problema, però, è che gli ambienti virtuali creati dai ricercatori non sono esattamente identici a quello reale. In particolare, i software di emulazione non possono sapere se un determinato dominio esista o no.

“I creatori di WannaCry hanno pensato di usare uno stratagemma semplice ma efficace, programmando il malware per collegarsi a un dominio che non esisteva. Se il dominio risultava esistente, allora WannaCry sapeva di trovarsi in un ambiente virtuale che lo stava in qualche modo ingannando e si disattivava”.

Quello che non avevano pensato era che qualcuno potesse registrare il dominio, bloccando di fatto la diffusione del malware.

“L’azione di Darien Huss ha fermato WannaCry impedendo che provocasse maggiori danni anche grazie a una buona dose di fortuna” spiega Hyppönen. “Darien ha infatti registrato il dominio poco tempo prima che negli Stati Uniti iniziasse la giornata lavorativa”.

“Se avesse tardato di qualche ora, anche gli USA sarebbero stati travolti da WannaCry e adesso staremmo parlando di un vero disastro. Mi chiedo se non sia il caso che la Regina Elisabetta (Darien Huss è un cittadino britannico -ndr) consideri di farlo cavaliere” conclude il ricercatore. E come dargli torto?

Condividi l'articolo