Come raccontato in tempo reale da Digital4Trade, Wannacry, il ransomware utilizzato venerdì nell’attacco alle reti informatiche di tutto il mondo, ha causato danni ovunque e ad organizzazioni di grandi dimensioni tra cui FedEx, Telefónica, il servizio sanitario nazionale del Regno Unito (NHS), dove alcune operazioni sono state annullate, cosi come i raggi X, i risultati dei test. Le registrazioni stesse dei pazienti sono diventati non disponibili per ore e i telefoni hanno smesso di funzionare.
Ma la diffusione dell’attacco, spiega The Guardian che per primo ha annunciato l’attacco, è stata arrestata improvvisamente quando un ricercatore della cyberecurity britannica, noto su twitter come @malwaretechblog, con l’aiuto di Darien Huss della ditta Proofpoint di sicurezza, ha trovato e inavvertitamente attivato un “kill switch” nel software dannoso.
Il primo ministro britannico ringrazia il personale del NHS per il lavor durante la notte dopo l’attacco della scala “senza precedenti”
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 maggio 2017
Il ricercatore, che si è identificato solo come MalwareTech, è un 22enne in Inghilterra sud-occidentale che vive con i suoi genitori e lavora per la logica di Kryptos, un’azienda di intelligence per le minacce di Los Angeles.
“Sono stato fuori a pranzare con un amico e sono tornato alle 15 e ho visto un afflusso di articoli di notizie sul NHS e varie organizzazioni britanniche in blocco – ha detto al Guardian – Ho dato uno sguardo e poi ho trovato un campione del malware e ho visto che si collegava a un dominio specifico, che non era registrato. Così ho preso il dominio per monitorarne l’attività e ha attivato il bocco del malware attraverso l’attivazione del “kill switch” , un tasto di blocco codificato nello stesso malware dall’autore evidentemente per attivarne il blocco. Il dominio costa $ 10.69 e sta registrando immediatamente migliaia di connessioni ogni secondo.
MalwareTech ha spiegato che ha acquistato il dominio perché la sua azienda tiene traccia di botnet e registrando questi domini è in grado di avere una visione in che modo la botnet si sta diffondendo. “L’intento era quello di monitorare la diffusione e di vedere se potremmo fare qualcosa in seguito. Ma abbiamo effettivamente bloccato la diffusione solo registrando il dominio “, ha detto.
MalwareTech ha detto che preferisce rimanere anonimo “perché non ha senso lasciare le mie informazioni personali, ovviamente stiamo lavorando contro i cattivi e non saranno felici di questo”.
Ha anche affermato che lui e i suoi colleghi stanno raccogliendo gli IP che ci stanno collegando al sito per poi mandarli alle autorità competenti in modo da poter comunicare con le vittime infettate.
Il colpo di fortuna @malwaretechblog non ha aiutato molto l’Europa e l’Asia, dove sono state colpite molte organizzazioni. Ma ha dato alla gente negli Stati Uniti più tempo per sviluppare l’immunità all’attacco patchando i loro sistemi prima che venissero infettati. Secondo gli esprti però si tratta solo di un blocco temporaneo, il tempo di modificare il codice di blocco e partirà una nuova ondata.
Inoltre, l’interruttore di ripristino non aiuterà chiunque abbia un computer che sia già stato infettato con il ransomware, ed è possibile che ci siano altre varianti del malware con diversi interruttori che continueranno a diffondersi.