Aggiornamenti recenti Aprile 1st, 2025 2:38 PM
Giu 26, 2017 Marco Schiaffino In evidenza, Malware, News, RSS 0
A distanza di settimane dall’attacco di WannaCry, continuano a emergere nuovi dettagli che spiegano meglio come sono andate le cose. Durante una visita ai laboratori di F-secure a Helsinki abbiamo avuto occasione di intervistare Mikko Hyppönen, storico ricercatore ed esperto di sicurezza, che ci ha che il ransomware avrebbe potuto causare molti più danni di quanti ne abbia fatti.
“Non importa quello che vi hanno raccontato” esordisce Hyppönen. “Wannacry non aveva nessun interruttore di emergenza per bloccarne la diffusione”.
Il riferimento è a quello che è stato definito il Kill Switch scoperto dal ricercatore Darien Huss all’interno di WannaCry. Poche righe di codice, che prevedevano che il malware provasse a collegarsi a un dominio Internet dal nome particolarmente astruso (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) prima di agire.
Quello che è successo è noto: Darien Huss ha controllato il dominio e ha scoperto che non era registrato. Senza sapere quello che stava facendo, poi, Huss è riuscito a mettere K.O. WannaCry con una semplice mossa: registrando il dominio per una somma inferiore a 15 dollari.
Come si è scoperto in seguito, infatti, il ransomware utilizzava il collegamento al dominio in questione come una sorta di verifica: se il sito risultava inesistente, avviava la crittografia dei dati sul computer infetto e cominciava a eseguire uno scan di Internet per diffondersi su altri PC. Se il sito rispondeva, WannaCry cessava qualsiasi attività e diventava innocuo.
L’interpretazione “a caldo” di questo meccanismo è stata che i pirati informatici che hanno creato il ransomware lo avessero inserito per poterne bloccare la diffusione in caso di necessità. Hyppönen, però, ha un’altra spiegazione.
“Il sistema di controllo di quel dominio è un semplice stratagemma per evitare che le società di sicurezza individuino e analizzino il malware” spiega il ricercatore finlandese.
Si tratta, in realtà, di una strategia che molti pirati informatici adottano per rendere più “longevi” i loro malware. Nello scenario attuale, infatti, le società che si occupano di sicurezza utilizzano intere reti di “computer sonda” (i cosiddetti HoneyPot – ndr) il cui compito è quello di fare da esca per raccogliere campioni dei malware che circolano su Internet.
Si tratta di macchine virtuali che permettono ai ricercatori di analizzare e studiare il comportamento di file e programmi per capire se siano pericolosi o meno. Grazie a questo sistema è possibile, in definitiva, ridurre i tempi di reazione per istruire i software antivirus e bloccare la diffusione dei malware.
Nulla di strano, quindi, nel fatto che i pirati informatici usino degli stratagemmi per evitare che tutto questo accada. Il sistema più comune è quello di programmare il malware per eseguire alcuni controlli che gli permettono di capire se si trova in un ambiente virtuale creato ad hoc per analizzarne il comportamento.
Mikko Hyppönen è uno dei ricercatori più conosciuti nel settore. La sua interpretazione del “sistema di arresto” di WannaCry spiega finalmente che cosa sia successo in quelle concitate ore.
“Le macchine virtuali che usiamo per analizzare i software potenzialmente pericolosi cercano di assecondare l’attività dei malware in modo da poterne studiare il comportamento” spiega Hyppönen. “Quando cercano di collegarsi a un sito, per esempio a Google.com, l’ambiente che abbiamo creato risponde come quello reale, ma ingannandoli: gli facciamo credere di essere collegati a Google, ma in realtà sono sempre in uno spazio chiuso”.
Il problema, però, è che gli ambienti virtuali creati dai ricercatori non sono esattamente identici a quello reale. In particolare, i software di emulazione non possono sapere se un determinato dominio esista o no.
“I creatori di WannaCry hanno pensato di usare uno stratagemma semplice ma efficace, programmando il malware per collegarsi a un dominio che non esisteva. Se il dominio risultava esistente, allora WannaCry sapeva di trovarsi in un ambiente virtuale che lo stava in qualche modo ingannando e si disattivava”.
Quello che non avevano pensato era che qualcuno potesse registrare il dominio, bloccando di fatto la diffusione del malware.
“L’azione di Darien Huss ha fermato WannaCry impedendo che provocasse maggiori danni anche grazie a una buona dose di fortuna” spiega Hyppönen. “Darien ha infatti registrato il dominio poco tempo prima che negli Stati Uniti iniziasse la giornata lavorativa”.
“Se avesse tardato di qualche ora, anche gli USA sarebbero stati travolti da WannaCry e adesso staremmo parlando di un vero disastro. Mi chiedo se non sia il caso che la Regina Elisabetta (Darien Huss è un cittadino britannico -ndr) consideri di farlo cavaliere” conclude il ricercatore. E come dargli torto?
Nov 09, 2023 0
Nov 09, 2022 0
Ott 27, 2022 0
Lug 05, 2022 0
Apr 01, 2025 0
Mar 31, 2025 0
Mar 31, 2025 0
Mar 28, 2025 0
Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and Management...Mar 27, 2025 0
Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso...Mar 21, 2025 0
Il processo di penetration testing è ormai una pratica...Mar 13, 2025 0
Il bilancio delle vittime del ransomware Medusa è...Mar 12, 2025 0
Kaspersky lancia un segnale d’allarme: registrare account...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and...Mar 31, 2025 0
I ricercatori di Infoblox hanno scoperto una nuova campagna...Mar 31, 2025 0
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...Mar 28, 2025 0
Un vecchio dominio di Microsoft Stream è stato compromesso...Mar 28, 2025 0
RedCurl, gruppo hacker russo attivo almeno dal 2018 e...