WannaCry rappresenta una delle minacce informatiche più significative degli ultimi anni, combinando un worm molto infettivo con un CryptoLocker. Utilizza l'exploit EternalBlue, una vulnerabilità Zero Day nel protocollo SMB, divulgata dai Shadow Brokers e originariamente parte dell'arsenale digitale dell'NSA. Microsoft aveva già rilasciato una patch a marzo, ma molte macchine sono rimaste vulnerabili a causa della mancata applicazione degli aggiornamenti, soprattutto in ambienti industriali e medici.
Il worm si diffonde rapidamente non solo su internet, ma anche attraverso le reti locali, colpendo duramente strutture come l'ente sanitario inglese, costretto a fermare i servizi in numerosi ospedali. La situazione è stata aggravata dalla presenza di macchine non aggiornabili, come quelle che utilizzano Windows XP, spesso impiegate in ambiti critici come la sanità.
Un giovane ricercatore di Malwarebytes ha scoperto un modo per fermare temporaneamente l'infezione registrando un dominio specifico, integrato nel codice del malware. Questo dominio fungeva da "kill switch", bloccando la diffusione del worm. Tuttavia, la minaccia non è scomparsa del tutto, con versioni successive del malware che eliminano questo meccanismo di blocco.
La lezione principale da trarre è l'importanza cruciale di mantenere i sistemi aggiornati e di implementare strategie di segmentazione della rete per proteggere le infrastrutture critiche. La mancanza di aggiornamenti e la presenza di sistemi obsoleti rappresentano un rischio significativo, facilmente sfruttabile da attori malevoli.
In questa Puntata
WannaCry è un attacco informatico che combina un worm altamente infettivo con un CryptoLocker, sfruttando la vulnerabilità EternalBlue divulgata dai Shadow Brokers. Questo attacco ha colpito duramente sistemi non aggiornati, causando gravi disagi in strutture mediche e industriali a livello globale. L'attacco è stato parzialmente fermato grazie a una scoperta casuale da parte di un ricercatore, ma la minaccia persiste con varianti successive.