WannaCry: ransomware bloccato e Microsoft pubblica una patch

Mag 13, 2017 Giancarlo Calzetta Attacchi, Malware, Minacce, News, RSS 3

Un ricercatore di sicurezza scova un modo per bloccare la campagna WannaCry, mentre Microsoft decide di pubblicare una patch per chiudere la falla in SMB anche sulle vecchie versioni di Windows.

WannaCry ha colpito duro, più di qualsiasi altro ransomware, ma è probabile che la sua campagna sarà di breve durata.

L’aggressività con cui si stava diffondendo, infatti, ha allertato tutti gli operatori coinvolti, generando una risposta rapida e precisa, tesa a interromperne l’avanzata.

Ovviamente, le cose non sono semplici, ma sembra che proprio i creatori del malware abbiano dato una mano importante nel limitarne la diffusione.

La mappa di diffusione di WannaCry rende ben chiaro come l’infezione si sia mossa in tutto il globo.

Darien Huss, un ricercatore di sicurezza che su twitter appare come “Malware Techlab”, ha iniziato a esaminare il codice di Wana Decrypt0r 2.0, scoprendo che al suo interno era riportato un indirizzo web a cui il malware cercava di collegarsi prima di iniziare l’opera di diffusione e criptazione.

Il dominio, che sembra essere iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, non era neanche stato registrato e probabilmente rappresentava un “arresto d’emergenza” previsto da chi ha sviluppato WannaCry per bloccarne l’operato in caso di bisogno.

Il ricercatore ha allora provato a registrare il domino a sue spese (investendo meno di 15 euro) e ha scoperto che al malware basta sapere che l’indirizzo è esistente e raggiungibile per fermarsi completamente.

“Confesso che non sapevo che semplicemente registrando il dominio il malware si sarebbe fermato, quindi direi che la scoperta è accidentale” – twitta l’eroe che ha dato al mondo un po’ di respiro per rispondere meglio a questo attacco, denunciando anche una modestia piuttosto rara di questi tempi. Qui trovate il suo report su come sia arrivato a fermare l’attacco ransomware potenzialmente più pericoloso di sempre.

Darien Huss è anche un ricercatore modesto.

Nel frattempo, anche Microsoft si è attivata, pubblicando anche per Windows XP e Windows 8 (oltre a Windows Server 2003) la patch che chiude la falla SMB sfruttata dalla campagna WannaCry.

Quanto accaduto con Wannacry è la dimostrazione di un assioma che da sempre regola le gesta dei gruppi di cybercriminali più avanzati: se dai troppo nell’occhio, avrai vita breve.

La campagna WannaCry è ancora lontana dall’essere un ricordo. Non è ancora chiaro se davvero l’attivazione del dominio “segreto” ne abbia stoppato tutte le azioni, ma è chiaro che la risposta a questa campagna di ransomware è stata molto più forte e decisa che non nei casi registrati in passato, dove il malware di diffondeva con minore aggressività, evitando di salire all’onore delle cronache troppo in fretta e permettendo di massimizzare i guadagni.

Nella sola giornata di ieri sono state colpite troppe istituzioni e grandi aziende perché non si sviluppasse una risposta organica e potente. E questo potrebbe addirittura esser stato un test da parte di qualche organizzazione che va oltre la criminalità.

Inoltre, nessuno impedisce a chi ha creato il malware di rimuovere il check sull’esistenza del dominio e ricominciare. Per questo è INDISPENSABILE sempre e comunque avere dei sistemi ben patchati.

Condividi l'articolo