Attacco hacker Wannacry: ecco come è stato rallentato grazie ad un dominio da 10 dollari

Attacco hacker Wannacry: ecco come è stato rallentato grazie ad un dominio da 10 dollari

Un giovane ricercatore britannico ha capito che qualcosa non andava nella giornata dell'attacco hacker più importante di tutti i tempi. Acquistato un dominio da soli 10 dollari è riuscito a rallentare il sistema che ha mandato in tilt mezza europa. Ecco come.

di Bruno Mucciarelli pubblicata il , alle 10:01 nel canale Sicurezza
MicrosoftWindows
 

E' forse l'eroe del momento, ha 22 anni e il suo nickname è @malwaretechblog. Ha salvato gli USA e non solo dal più importante attacco hacker di tutti i tempi che nella giornata di venerdì è stato portato avanti su milioni e milioni di computer di tutta Europa registrando molteplici disservizi soprattutto negli ospedali britannici ma anche nelle università italiane come anche nelle catene di montaggio automobilistiche francesi. Il malware, chiamato WanaCryptOr 2.0 ha iniziato a diffondersi nei computer più vecchi grazie ad una falla di sicurezza nell'SMB Server del sistema operativo Windows, evidenziata da Microsoft e aggiornata con un security update, ma che ha comunque visto estendere la criticità grazie alla presenza nel mondo di PC non aggiornati proprio a questa patch.

Il giovane 22enne britannico che lavora per Kryptos logic, una società di intelligence delle minacce cybernetiche, sin dai primi minuti dell'attacco ha percepito che qualcosa di grosso stava accadendo e indagando specificatamente su quello che il ransomware stava mettendo in atto nella propagazione del virus ha notato che WanaCry, per infettare una nuova macchina, cercava di contattare un indirizzo web "gwea.com" e se non aveva risposta dal sito continuava l'infezione. A questo punto il ragazzo ha deciso di acquistare il dominio pur non sapendo completamente che in tal modo sarebbe riuscito a bloccare o almeno rallentare la diffusione del malware.

"Ero andato a pranzo con degli amici, poi sono tornato al lavoro verso le tre e ho pensato: voglio darci un'occhiata. Ho visto che l'indirizzo di questo specifico dominio non era registrato. L'ho comprato, non sapendo cosa stessi facendo al momento, o cosa poteva succedere. C'è stato anche un attimo di panico, perché qualcuno nel mondo internet ha creduto che fossi io il «manovratore» di WannaCry. Per un po' sono andato via di testa" scherza il giovane britannico "Ma poi è diventato chiaro a tutti che invece era vero il contrario".

Il ricercatore @malwaretechblog ha acquistato il dominio su NameCheap.com per 10,69 dollari e facendo così è riuscito, al di là delle sue aspettative, a bloccare il virus nel momento in cui lo stesso cercava di contattare proprio il dominio acquistato. A quel punto sul dominio sono apparse oltre 6 mila tentativi di connessione al secondo, proprio i tentativi di infezione che avvenivano in giro per il mondo e che in tal modo stavano iniziando a neutralizzare.

"Lo scopo era solo monitorare la diffusione e vedere se potevamo far qualcosa dopo. Ma in realtà lo abbiamo fermato soltanto registrando proprio quel dominio" MalwareTech ha dichiarato di voler rimanere anonimo visto che "lavoriamo contro i cattivi e questi non sono contenti di ciò che facciamo noi. Oltretutto in queste ore stiamo inviando gli IP infetti alle autorità, in modo che possano comunicarlo alle vittime, molte ancora ignare. Non è finita. Gli hacker capiranno bene come abbiamo fermato il malware, cambieranno il codice e cominceranno di nuovo. Il consiglio è assolutamente di attivare gli aggiornamenti di Windows per proteggersi al meglio".

60 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
AlexSwitch15 Maggio 2017, 10:15 #1
Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?
Phoenix Fire15 Maggio 2017, 10:29 #2
Originariamente inviato da: AlexSwitch
Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?


mi unisco ai complimenti e anche a me sorge quel dubbio, magari a un certo punto volevano fermare l'infezione o boh
gd350turbo15 Maggio 2017, 10:33 #3
Secondo me , c'è qualcosa di grosso dietro...
Ma di grosso grosso !
Portocala15 Maggio 2017, 10:34 #4
Il ransomware deve contattare qualcuno, perchè in teoria, pagando, dovresti avere il codice di sblocco.
nella giornata di venerdì è stato portato avanti su milioni e milioni di computer di tutta Europa

Bruno please.... Studio Aperto ti sta cercando
Unrealizer15 Maggio 2017, 10:37 #5
Originariamente inviato da: AlexSwitch
Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?


(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto)

nell'articolo dice che probabilmente era una misura anti analisi pensata male e implementata peggio più che una sicura

Originariamente inviato da: gd350turbo
Secondo me , c'è qualcosa di grosso dietro...
Ma di grosso grosso !


si, la grossa incoscienza di chi si ostina ad usare sistemi fuori supporto e/o si ostina a non voler fare gli aggiornamenti
Mars4ever15 Maggio 2017, 10:48 #6
Originariamente inviato da: AlexSwitch
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente? Se c'era un motivo per decidere quando interrompere la diffusione, perché non mettere un indirizzo controllato e semplicemente cambiare una variabile al suo interno al momento desiderato, invece di lasciare la possibilità di farlo a chiunque?

E come ha fatto il tizio a scoprire che wanacry cercava di contattare quel dominio?
Ork15 Maggio 2017, 10:48 #7
un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo.
Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.
Unrealizer15 Maggio 2017, 11:03 #8
Originariamente inviato da: Mars4ever
Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente? Se c'era un motivo per decidere quando interrompere la diffusione, perché non mettere un indirizzo controllato e semplicemente cambiare una variabile al suo interno al momento desiderato, invece di lasciare la possibilità di farlo a chiunque?


Leggi l'articolo che ho linkato sopra

E come ha fatto il tizio a scoprire che wanacry cercava di contattare quel dominio?


wireshark e IDA

Originariamente inviato da: Ork
un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo.
Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.


leggi l'articolo che ho linkato, è il suo lavoro
VashXP15 Maggio 2017, 11:06 #9
se vuoi fare un'attacco biologico, prima ti assicuri di avere l'antidoto...
lo scopo non era quello di fare il danno, ma puramente economico, i danni da noi subiti sono solo un effetto collaterale.

e comunque puntare a un indirizzo esistente è la scelta meno consigliabile, in quanto sarebbe tutto tracciabile, maggior ragione se puoi ci devi anche accedere per modificare le variabili.
meglio puntare a qualcosa che non esiste e che non sia di nessuno.

e comunque era un danno facilmente evitabile tenendo aggiornati i propri sistemi, la vulnerabilità del SMB v1 microsoft l'aveva già risolto a marzo.
DjLode15 Maggio 2017, 11:08 #10
Originariamente inviato da: Unrealizer
(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto)


Interessante, grazie!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^