I ricercatori di Kryptos Logic hanno scoperto che WannaCry infetta ancora nuovi computer anche se non può più causare danni. Proprio loro che si sono attivati proprio per neutralizzare la parte effettivamente dannosa del ransomware.
WannaCry si propaga attraverso una vulnerabilità nel protocollo SMBv1 che affligge molte vecchie versioni di Windows. Si installa in modo completamente automatico su una macchina e poi procede a criptare l’intero contenuto dell’hard disk, chiedendo un riscatto in bitcoin per la chiave di decriptazione. Prima, però, cerca di collegarsi a un dominio web e verifica se è registrato. Solo in caso di risposta negativa procede con la crittografia.
A Kryptos Logic è bastato registrare tale dominio per rendere WannaCry del tutto inoffensivo. Il virus, addirittura, si auto-elimina al successivo riavvio del sistema, senza nemmeno cercare di infettare prima un’altra macchina. Ma continuando a monitorare gli accessi a quel dominio, Kryptos Logic ha modo di capire se nuove istanze di WannaCry circolano ancora in rete.
I riscontri sono tantissimi: circa 900 milioni di indirizzi IP univoci. Aiutano a farsi un’idea del disastro che avrebbe potuto essere se gli hacker fossero stati un po’ più subdoli nell’implementazione del loro “kill switch”.
Kryptos Logic ha una teoria su come sia possibile che WannaCry si stia ancora diffondendo dopo tutto questo tempo. La causa probabilmente è dovuta ad alcuni computer infettati prima della registrazione del “kill switch” e continuano a cercare indisturbati nuove macchine vulnerabili su tutta la Rete.
Da tutto ciò si traggono due conclusioni, entrambe piuttosto preoccupanti da un punto di vista più generale dello stato della sicurezza informatica mondiale: nel mondo ci sono macchine che sono state praticamente “dimenticate” infette e accese da questa primavera; e ci sono tantissimi sistemi che, nonostante l’ampia copertura mediatica del caso, non sono stati aggiornati con le patch di sicurezza.
Discussione su post