Venerdì scorso è stato il giorno di WannaCry , minaccia informatica non esattamente nuovissima né particolarmente sofisticata che ha però monopolizzato la cronaca (specializzata e non) a causa di una virulenza senza precedenti . Le infezioni si contano in centinaia di migliaia ma i risultati economici dell’operazione criminale sembrano essere piuttosto scarsi. Almeno finora.
Anche noto come WCry, Wana Decrypt0r, WannaCrypt o WanaCrypt0r, WannaCry è un malware composto da due diversi componenti: il primo è un ransomware dal comportamento classico che cifra i file e chiede un riscatto in Bitcoin , mentre il secondo è un ben più problematico payload progettato per diffondere l’infezione sfruttando una grave vulnerabilità nel componente Server Message Block (SMB) dei sistemi Windows .
La vulnerabilità è già stata corretta da Microsoft con il martedì di patch di marzo (MS17-010), ma ciò non ha impedito ai cyber-criminali di collezionare oltre 223.000 sistemi infetti solo nel corso del weekend. Il baco nell’SMB è uno degli exploit usati dalla NSA e resi pubblici dai recenti leak del gruppo The Shadow Brokers , e favorisce il veloce propagarsi dell’infezione grazie alla scansione dei sistemi vulnerabili (con porta 445 aperta) presenti in rete.
Il gran numero di “vittime” sparse in giro per il mondo – con una situazione particolarmente grave per il settore della salute nel Regno Unito – e la mancata possibilità di decriptare i file presi in ostaggio senza pagare i cyber-criminali hanno reso WannaCry una vera e propria “star” dei giornalisti poco attenti ai dettagli, ma a parte questo la nuova minaccia non risulta essere particolarmente complessa dal punto di vista tecnico.
Il nuovo ransomware è infatti la versione “2.0” di un codice malevolo già attivo da qualche mese (WCry), sembra essere stato programmato in fretta da cyber-criminali poco esperti e ha fin qui raccolto “riscatti” per appena 31.000 dollari nonostante l’alto numero di infezioni. Un ricercatore noto come MalwareTech ha poi scoperto un “kill-switch” presente all’interno del codice, registrando il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com e bloccando la diffusione dell’infezione.
Ma la storia di WannaCry non finisce qui, visto che una nuova variante che fa a meno del suddetto nome di dominio sarebbe già in circolazione e l’inizio della settimana lavorativa potrebbe far crescere in maniera significativa sia i PC colpiti che i pagamenti in Bitcoin. Al ransomware famoso va certamente assegnato un primato, vale a dire la trasformazione in arma di cyber-offesa di un pericoloso exploit (ETERNALBLUE) precedentemente a disposizione solo dell’intelligence statunitense.
Alfonso Maruccia