Il malware WannaCry bloccato per caso da un ventenne (con 10 dollari)
Su Twitter si chiama MalwareTech, il suo avatar è un gatto con gli occhiali e condivide spesso fotografie di surfisti e delle pizze che ordina a pranzo: è stato lui a bloccare la diffusione del terribile ransomware "WannaCry" che ha infettato 150 paesi del mondo con un contagio senza precedenti su oltre 75.000 computer di enti, aziende e università. Il terribile malware è riuscito anche ad infettare i computer all'interno di un laboratorio dell'Università Bicocca di Milano. Il poco più che ventenne – che attualmente vuole rimanere anonimo – è riuscito a bloccare la diffusione del virus in Europa, mettendo in salvo Usa, Canada e America Latina, acquistando per circa 10 dollari il nome di dominio nascosto nel programma, impedendo così a WannaCry di diffondersi oltre.
MalwareTech ha descritto tutto il suo operato per fermare il ransomware sul suo blog, How to Accidentally Stop a Global Cyber Attacks, dove dimostra che, quasi "accidentalmente", è riuscito a fermare il malware. In pratica, MalwareTech ha usato e attivato una specie di "interruttore killer" che era scritto all'interno del malware stesso, quasi un pulsante di emergenza, probabilmente creato per disattivarlo quando il creatore del virus avesse voluto farlo. Il giovane si è quindi reso conto che quando WannaCry procedeva ad attaccare un nuovo computer provava a contattare la pagina web e, se falliva, andava avanti con l’attacco. Ma se aveva successo si fermava. MalwareTech ha quindi dedotto che se WannaCry non riusciva ad avere accesso a quel dominio, avrebbe cominciato a funzionare, cercando nuovi siti da attaccare, senza sosta, fino a disattivarsi. Ed è proprio quello che è successo.
E mentre il giovane realizzava tutto questo, egli stesso non aveva la piena consapevolezza di quello che stesse facendo, spendendo 10,69 dollari per acquistare il dominio che avrebbe fermato WannaCry. Immediatamente dopo questa operazione, sul dominio da lui acquistato con un nome preso dall'interno del malware perchè compariva diverse volte si sono registrati 5/6 mila accessi al secondo. Un numero che rende bene la portata di questo terribile malware. Nel momento in cui questo avveniva, WannaCry cessava la sua attività distruttiva in Europa e altri paesi come Russia, Vietnam, Taiwan, dove era ormai troppo tardi per fare qualcosa, negli Usa hanno potuto sfruttare il rallentamento per correre ai ripari e mettersi al sicuro.
"Non sono laureato" ha spiegato ad un giornalista il giovane informatico. "Pensavo di andare all'università ma mi è stato offerto un lavoro nella sicurezza informativa un anno prima, quindi ho accettato. Ho imparato da solo a programmare, quindi andare all'università sarebbe stato solo uno spreco di tempo e denaro". Oltre alle passioni per surf e pizza, al giovane programmatore pare piaccia programmare ascoltando canzoni di Taylor Swift, bere vodka e caffè. "Il mio lavoro è quello di cercare e bloccare botnet e altre tipologie di malware, quindi sono sempre attento a domini di controllo per i malware non registrati" ha spiegato. "In effetti ne ho registrati diverse migliaia negli anni passati".
Europol ha parlato di un attacco che non ha precedenti e ha intenzione di avviare una indagine internazionale per "identificare i responsabili". Tra le aziende europee colpite, risulta la Renault e la rete ferroviaria tedesca, oltre il sistema sanitario inglese. In Italia, secondo la Polizia Postale, il fenomeno non è stato così feroce, avendo colpito solo due università e nessun "servizio essenziale". La Polizia Postale "consiglia l'installazione della patch MS 17-010, rilasciata da Microsoft il 17 marzo scorso, e quella del 9 maggio".