E' l'eroe del momento: l'uomo che ha fermato la diffusione dell'attacco informatico più devastante degli ultimi tempi con 10 sterline un po' di fortuna. Un esperto di cybersicurezza di 22 anni che si è messo al lavoro non appena Wannacry ha cominciato a colpire le reti governative e industriali di mezzo mondo e ha cercato di limitare i danni.
Se il danno è fatto, almeno l'infezione è fermata
Perchè di questo si tratta: limitare i danni, non porre riparo a quello che è già accaduto. Ma, soprattutto, è l'uomo al quale gli Stati Uniti devono molto: è stato grazie al suo intervento se, seguendo l'onda del fuso orario, l'infezione non si è propagata fino oltre oceano. Su Malware TechBlog ha raccontato la sua storia. Che abbiamo cercato di semplificare per farla comprendere anche a chi non è uno smanettone."Venerdì mi sono svegliato alle 10 e ho controllato la piattaforma di condivisione di minaccia di cybercrime nel Regno Unito dove ho seguito la diffusione del malware bancario Emotet, la cosa che sembrava più pericolosa fino ad oggi. C'erano i soliti messaggi su varie organizzazioni colpite con ransomware, ma niente di significativo ... ancora".
Si scatena l'inferno
Il nostro eroe senza volto (come è consuetudine per gli hacker, siano essi buoni o cattivi) era a pranzo con un amico, quando la campagna di ransomware di WannaCry si è scatenata.
La storia di un attacco fermato 'per caso' come la racconta Repubblica
"Quando sono tornato a casa alle 2,30, la piattaforma per la condivisione delle minacce è stata inondata da post su vari sistemi del servizio sanitario infettati in tutto il Paese, cosa che mi ha fatto capire che era qualcosa di grosso. Sono stato in grado di ottenere un campione del malware con l'aiuto di Kafeine, un buon amico e collega ricercatore. Quando ho eseguito il campione nel mio ambiente di analisi, ho immediatamente notato che il malware interrogava un dominio non registrato, che ho subito registrato".Ecco: è questo il punto di svolta. Il malware cerca di contattare un indirizzo che altro non è che un'accozzaglia di caratteri con dominio .com e, quando non ci riesce perchè non esiste, si attiva. Una sorta di grilletto automatico che serve a scatenare l'inferno. Ma cosa succede se invece di ricevere risposta negativa, il malware accede effettivamente a questo bizzarro indirizzo?
"Ora una cosa che è importante notare è la registrazione effettiva del dominio non era su un capriccio. Il mio compito è quello di cercare i modi in cui possiamo tracciare e bloccare potenzialmente botnet (e altri tipi di malware), quindi sono sempre in cerca di raccogliere domini di controllo di malware non registrati. Infatti ho registrato parecchie migliaia di tali domini nell'ultimo anno".
Segue una serie di passaggi davvero per smanettoni, come l'uso di sinkhole per convogliare il traffico malefico e renderlo innocuo, ma quello che ci importa è che di fatto Wannacry è entrato in un vicolo cieco. Un vicolo da cui non può uscire per diffondersi ulteriormente. Ma anche un posto dove c'è ancora una sacco di gente cui fare danni.