Se avete seguito le notizie, saprete sicuramente quanto affermato dai ricercatori, i quali avrebbero attuato misure di sicurezza che fermassero il diffondersi del ransomware WannaCry grazie all’attivazione di una particolare funzionalità intrinseca al ransomware, chiamata Kill-Switch.
In realtà ciò non è vero, la minaccia non si è ancora estinta.
Infatti diversi ricercatori hanno invece dichiarato che una versione di WannaCry, la WannaCry 2.0, non possiede questa funzionalità e quindi sono ancora tantissimi i computer infetti.
Si parla di oltre 213.000 pc in circa 99 Paesi in tutto il Mondo.
Per chi non lo conosca, WannaCry è un pericoloso malware che utilizza un exploit di Windows SMB per controllare in remoto un computer in esecuzione.
Dopo aver infettato un pc, il malware è capace di diffondersi in maniera velocissima attraverso la rete infettando tutti gli altri pc.
L’exploit SMB, attualmente utilizzato da WannaCry, fa parte degli “ExternalBlue”, un’intera collezione di hacking tools presumibilmente creati dall’NSA e successivamente scaricati da un gruppo di Cyber criminali soprannominati “Shadow Brokers”.
Fortunatamente il gruppo “MalwareTech” ha registrato il dominio in questione e ha creato un software di monitoraggio asincrono in grado di reindirizzare il traffico dalle macchine infette a un sistema autocontrollato.
Il pericolo però non è ancora rientrato. L’attivazione del “kill-switch” non previene l’infezione nei seguenti casi:
- se ricevete WannaCry via mail;
- se cambiate il vostro ISP, o sbloccate gli accessi dai vostri antivirus o firewall;
- se il sistema mirato richiede un proxy per accedere a Internet, che è una pratica comune nella maggior parte delle reti aziendali;
- se qualcuno rende il dominio sinkhole inaccessibile per tutti, ad esempio utilizzando un attacco DDoS su larga scala.