Un esperto informatico britannico, la cui identità non è stata resa nota, ha arginato il propagarsi di WannaCry comprando un dominio su cui appoggiava il ransomware e impedendone la diffusione negli Usa, Canada e America Latina
Un 22enne britannico è diventato un eroe “per caso” riuscendo a rallentare la propagazione a macchia d’olio di “Wannacry”, il ransomware che ha scatenato l’attacco hacker che ha colpito i pc di mezzo mondo a scopo estorsivo. Il giovane ricercatore di sicurezza informatica, di cui non è stata svelata l’identità, ha registrato per circa 10 dollari un dominio internet che si comporta come un pulsante di autodistruzione all'interno del virus. Il giornale britannico Guardian ha spiegato che il giovane, di cui si conosce solo l'account twitter (@malwaretechblog), è riuscito nell'operazione con l'aiuto un esperto di informatica che lavora per la compagnia di sicurezza californiana Proofpoint.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 maggio 2017
Come ha fatto a fermare il virus
L'analista ha raccontato tutto in un post sul suo blog. Ha usato e attivato “un kill-switch”, un interruttore-killer, che era scritto nel malware stesso, una sorta di pulsante di emergenza, con ogni probabilità voluto da chi ha creato il virus per disattivarlo quando avesse voluto. Si è accorto che quando procedeva ad attaccare un nuovo computer, WannaCry provava a contattare la pagina web: se falliva andava avanti con l'attacco, ma se aveva successo si fermava. E ha dedotto che se WannaCry non poteva avere accesso a quel dominio avrebbe cominciato a funzionare in maniera erratica nella rete, cercando nuovi siti da attaccare, fino a disattivarsi. Come infatti è successo.
Ha salvato Usa, Canada e America Latina
L'analista, che twitta da un account chiamato @malwaretechblog ha ammesso di non aver realizzato, quando comprava il dominio per appena 10,69 dollari, che avrebbe messo a segno un colpo così fortunato. Ha spiegato di aver notato il nome di un dominio, una sequenza di lettere priva di senso il cui finale era sempre lo stesso nel codice. "Ho visto che non era ancora registrato, ho pensato che l’avrei preso". A quel punto lo ha acquistato. Ma appena il dominio è stato attivo, ha capito la potenza dell'attacco: ha cominciato a registrare migliaia di connessioni, "cinque/seimila al secondo". E si sono bloccati migliaia di attacchi, ma lui ha ammesso di averlo fatto “solo per caso". Nel momento in cui il giovane registrava il dominio era troppo tardi per aiutare chi era sotto attacco in Europa o Asia, ma chi era negli Usa ha avuto il tempo di mettersi al riparo prima che i sistemi informatici fossero colpiti.
La mappa della diffusione
MalwareTech, basandosi sui dati che sta tenendo d'occhio, ha poi creato una mappa che si aggiorna in tempo reale e in cui è possibile monitorare la diffusione del virus. A quanto emerge da questo strumento pare che la velocità del contagio stia rallentando.
Check out this NYT post, they made a really cool time based map with my data https://t.co/K7lVjagq29
— MalwareTech (@MalwareTechBlog) 13 maggio 2017
