Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Giu 26, 2017 Marco Schiaffino In evidenza, Malware, News, RSS 0
A distanza di settimane dall’attacco di WannaCry, continuano a emergere nuovi dettagli che spiegano meglio come sono andate le cose. Durante una visita ai laboratori di F-secure a Helsinki abbiamo avuto occasione di intervistare Mikko Hyppönen, storico ricercatore ed esperto di sicurezza, che ci ha che il ransomware avrebbe potuto causare molti più danni di quanti ne abbia fatti.
“Non importa quello che vi hanno raccontato” esordisce Hyppönen. “Wannacry non aveva nessun interruttore di emergenza per bloccarne la diffusione”.
Il riferimento è a quello che è stato definito il Kill Switch scoperto dal ricercatore Darien Huss all’interno di WannaCry. Poche righe di codice, che prevedevano che il malware provasse a collegarsi a un dominio Internet dal nome particolarmente astruso (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) prima di agire.
Quello che è successo è noto: Darien Huss ha controllato il dominio e ha scoperto che non era registrato. Senza sapere quello che stava facendo, poi, Huss è riuscito a mettere K.O. WannaCry con una semplice mossa: registrando il dominio per una somma inferiore a 15 dollari.
Come si è scoperto in seguito, infatti, il ransomware utilizzava il collegamento al dominio in questione come una sorta di verifica: se il sito risultava inesistente, avviava la crittografia dei dati sul computer infetto e cominciava a eseguire uno scan di Internet per diffondersi su altri PC. Se il sito rispondeva, WannaCry cessava qualsiasi attività e diventava innocuo.
L’interpretazione “a caldo” di questo meccanismo è stata che i pirati informatici che hanno creato il ransomware lo avessero inserito per poterne bloccare la diffusione in caso di necessità. Hyppönen, però, ha un’altra spiegazione.
“Il sistema di controllo di quel dominio è un semplice stratagemma per evitare che le società di sicurezza individuino e analizzino il malware” spiega il ricercatore finlandese.
Si tratta, in realtà, di una strategia che molti pirati informatici adottano per rendere più “longevi” i loro malware. Nello scenario attuale, infatti, le società che si occupano di sicurezza utilizzano intere reti di “computer sonda” (i cosiddetti HoneyPot – ndr) il cui compito è quello di fare da esca per raccogliere campioni dei malware che circolano su Internet.
Si tratta di macchine virtuali che permettono ai ricercatori di analizzare e studiare il comportamento di file e programmi per capire se siano pericolosi o meno. Grazie a questo sistema è possibile, in definitiva, ridurre i tempi di reazione per istruire i software antivirus e bloccare la diffusione dei malware.
Nulla di strano, quindi, nel fatto che i pirati informatici usino degli stratagemmi per evitare che tutto questo accada. Il sistema più comune è quello di programmare il malware per eseguire alcuni controlli che gli permettono di capire se si trova in un ambiente virtuale creato ad hoc per analizzarne il comportamento.
“Le macchine virtuali che usiamo per analizzare i software potenzialmente pericolosi cercano di assecondare l’attività dei malware in modo da poterne studiare il comportamento” spiega Hyppönen. “Quando cercano di collegarsi a un sito, per esempio a Google.com, l’ambiente che abbiamo creato risponde come quello reale, ma ingannandoli: gli facciamo credere di essere collegati a Google, ma in realtà sono sempre in uno spazio chiuso”.
Il problema, però, è che gli ambienti virtuali creati dai ricercatori non sono esattamente identici a quello reale. In particolare, i software di emulazione non possono sapere se un determinato dominio esista o no.
“I creatori di WannaCry hanno pensato di usare uno stratagemma semplice ma efficace, programmando il malware per collegarsi a un dominio che non esisteva. Se il dominio risultava esistente, allora WannaCry sapeva di trovarsi in un ambiente virtuale che lo stava in qualche modo ingannando e si disattivava”.
Quello che non avevano pensato era che qualcuno potesse registrare il dominio, bloccando di fatto la diffusione del malware.
“L’azione di Darien Huss ha fermato WannaCry impedendo che provocasse maggiori danni anche grazie a una buona dose di fortuna” spiega Hyppönen. “Darien ha infatti registrato il dominio poco tempo prima che negli Stati Uniti iniziasse la giornata lavorativa”.
“Se avesse tardato di qualche ora, anche gli USA sarebbero stati travolti da WannaCry e adesso staremmo parlando di un vero disastro. Mi chiedo se non sia il caso che la Regina Elisabetta (Darien Huss è un cittadino britannico -ndr) consideri di farlo cavaliere” conclude il ricercatore. E come dargli torto?
Nov 09, 2023 0
Nov 09, 2022 0
Ott 27, 2022 0
Lug 05, 2022 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...