Ransomware

WannaCry, la minaccia dormiente

Il ransomware che ha scatenato il panico nel 2017 continua a rappresentare un pericolo concreto per un gran numero di computer. Se un particolare dominio Web va giù, il malware si attiva e fa danni in tutto il mondo.

A un anno e mezzo di distanza dall’epidemia che ha scatenato la sua forza malevola in giro per il mondo, WannaCry è ancora una minaccia per centinaia di migliaia di utenti e un gran numero di aziende. Molte e importanti le vittime eccellenti che hanno avuto a che fare con il malware di recente, ma in futuro la minaccia potrebbe risvegliarsi su tutti i PC infetti criptando i file e mandando gambe all’aria business, servizi pubblici e sistemi privati in molti paesi.

WannaCry è il malware che, più di molti altri “prodotti” malevoli, ha imposto i rischi e la pericolosità del fenomeno ransomware all’attenzione dell’utenza e del grande pubblico generalista; a contribuire grandemente alla lotta contro il ransomware è stato Marcus Hutchins, ricercatore di sicurezza britannico (anche noto come MalwareTech) impiegato presso Kryptos Logic che ha scoperto l’esistenza di un nome di dominio “civetta” all’interno del codice del malware.

Il dominio-civetta

Il dominio incriminato accoglie i “ping” periodici delle infezioni da WannaCry, e finché resta on-line rende il ransomware una minaccia “dormiente” ma inattiva: riconosciuta l’esistenza del sito, il malware non attiva il payload responsabile della cifratura dei file su disco. Il dominio è ovviamente passato sotto il controllo dei ricercatori di Kryptos Logic, che hanno poi deputato i servizi di hosting e CDN a CloudFlare per evitare che un attacco DDoS lo renda indisponibile anche solo per pochi secondi.

WannaCry, ping da IP unici
WannaCry, ping da indirizzi IP unici

Stando alle ultime statistiche fornite dagli esperti, il numero di infezioni dormienti di WannaCry ammonta ancora a più di mezzo milione di PC; l’infezione è stata sostanzialmente sradicata negli Stati Uniti e nel Regno Unito, mentre la metà dei ping da indirizzi IP “unici” al dominio-civetta arriva da Cina, Indonesia e Vietnam. L’attività del dominio è maggiore nei giorni feriali che in quelli festivi, ennesima conferma del fatto che la maggioranza dei sistemi infetti fa parte di organizzazioni aziendali.

Per facilitare l’identificazione di un’infezione da WannaCry, e di conseguenza evitare che l’eventuale indisponibilità del dominio del malware scateni un’ecatombe di PC Windows in giro per il mondo, Kryptos mette a disposizione un tool gratuito chiamato Telltale; nel frattempo, Hutchins è attualmente bloccato a Los Angeles e deve fare i conti con la giustizia statunitense per il suo (presunto) coinvolgimento nello sviluppo del malware bancario Kronos (2014-15).

PCProfessionale © riproduzione riservata.