wannacry_2

WannaCry: caccia al paziente zero

Gli esperti di sicurezza provano a ricostruire la dinamica del contagio, in maniera da capire com’è avvenuto l’attacco. Le prime tracce portano in Corea del Nord.

Share With:

A distanza di cinque giorni dall’inizio dell’epidemia, e, come vi abbiamo già raccontato ieri, appurati i metodi per contrastarla nel miglior modo possibile, è tempo per esperti di sicurezza ed autorità di continuare le indagini per comprendere esattamente chi ha dato il via all’infezione. Al di là di una caccia al colpevole che sembra portare verso la Corea del Nord, a causa della somiglianza tra il malware e un virus realizzato, nel 2015, da Lazarus, un gruppo hacker ritenuto legato al governo di Kim Jong un, le indagini sono volte a capire com’è avvenuto il primo caso di contagio di WannCry e identificare il paziente zero. Sebbene il modello della diffusione sia stato più o meno compreso (ve lo mostriamo in una gif animata fornita da Acronis), il Wall Street Journal ha pubblicato un lungo articolo dove esperti e ricercatori provano a formulare ipotesi.

wannacry

Secondo la ricostruzione del WSJ, gli esperti tendono a escludere che il malware possa essere stato propagato attraverso pratiche di “phishing” via mail, ma propendono per un attacco più diretto, che coinvolge il bug della porta 445 lasciato scoperto dalle due falle di sicurezza dei sistemi non aggiornati. Di solito, infatti, la porta è chiusa all’accesso internet e, dunque, non viene “monitorata” come potenzialmente pericolosa. Molto più probabilmente, il primo computer, evidentemente privo di protezione, è stato infettato in uno spazio di frontiera, probabilmente un caffè, tramite una rete Wi-Fi pubblica, e una volta che il PC è stato riconnesso a una rete aziendale potrebbe essere partito il contagio. Interessante la dichiarazione, rilasciata al giornale americano da parte di Becky Pinkard e riportata anche da Ansa: “Se mi occupassi della parte legale di questa vicenda, andrei dall’azienda che per prima è stata infettata e chiederei di dare un’occhiata alle suo credenziali“. In questo modo, continua l’articolo, identificando il “paziente zero” si potrebbe anche scoprire qualcosa in più sull’autore dell’attacco.

Per comprendere qualcosa in più della genesi del malware le società che si occupano di sicurezza stanno continuando ad analizzare le mutazioni codice infetto, e sono state proprio Kaspersky e Symantec a rilevare la compatibilità con i virus utilizzati dagli hacker nordcoreani. Le ricorsività del codice, così come l’intera parte “riciclata”, però, sono già sparite, segno che chiunque abbia interesse a fomentare l’epidemia sta continuando ad agire. È proprio Kaspersky, in un post sul blog aziendale, a sottolineare l’importanza della ricerca delle similitudini tra WannaCry e altri attacchi, perché è al momento l’unica via per comprendere qualcosa in più sulla natura del malware.

Sul fronte dei riscatti, invece, il presidente della F-Secure Corp Mikko Hypponen ha scritto sul suo profilo Twitter che “c’è la conferma che oltre 200 vittime di WannaCry hanno pagato il riscatto e riavuto i loro file”, ma è una percentuale irrisoria e dunque tale pratica è ancora da considerarsi non consigliabile.

Non è stato inserito nessun commento.

Accedi


Nome utente
Crea un nuovo account!
Password
Hai dimenticato la password?

Registrati


Nome utente
Email
Password
Conferma la Password
Sesso
Indirizzo
Citta
Provincia
Professione
Telefono
Desidero ricevere la newsletter
Accetto le condizioni di utilizzo del servizio
Ai sensi degli articoli 1341 e 1342 del codice civile italiano si accettano espressamente i seguenti articoli del Contratto: 1. (automatica accettazione della più recente versione del Contratto); 7. (diritti di privativa); 8. (manleva); 9. (modifiche e cancellazioni); 10 (limitazione di responsabilità); 12. (legge applicabile e foro competente)
Autorizzo al trattamento dei miei dati personali come descritto nell'articolo 8
Autorizzo la cessione dei miei dati personali a terzi/partner
Hai già un account? Esegui la login

password dimenticata?


Nome utente o Email
Twitter Auto Publish Powered By : XYZScripts.com