Sophos, specialista nelle soluzioni per la protezione delle reti e dell’endpoint, ha presentato una ricerca che analizza l’evoluzione del noto malware WannaCry dopo l’attacco mondiale iniziato il 12 maggio 2017. L’analisi condotta dai SophosLabs evidenzia che la minaccia di WannaCry rimane attiva con milioni di attacchi rilevati ogni mese. Nonostante il codice del malware originale non venga aggiornato da tempo, vengono rilasciate diverse migliaia di piccole varianti.
Perché WannaCry è sempre più pericoloso
Le nuove versioni di WannaCry sono particolarmente pericolose perché sono in grado di evitare il “kill switch” (il dominio inserito nel codice dai cybercriminali per bloccare la sua diffusione). I ricercatori di Sophos hanno analizzato ed eseguito un alto numero di varianti del malware e hanno scoperto che l’abilità di criptare i dati è stata neutralizzata dopo la corruzione del codice.
Per infettare nuove vittime, WannaCry controlla innanzitutto se il computer è già stato attaccato e, in caso positivo, cambia obiettivo. Per questo motivo, l’infezione di una versione inerte del malware protegge efficacemente il dispositivo dall’infezione con il ceppo più pericoloso. In breve, le nuove varianti corrotte del malware agiscono come un vaccino accidentale, offrendo ai computer vulnerabili e ancora privi di patch, l’immunità dall’attacco ransomware WannaCry completo.
Tuttavia, il fatto stesso che questi computer potrebbero essere infettati in primo luogo suggerisce che la patch contro l’exploit principale utilizzato negli attacchi WannaCry non è stata installata, pur trattandosi di una patch rilasciata più di due anni fa.
Il malware originale WannaCry è stato rilevato solo 40 volte e da allora i SophosLabs hanno identificato 12.480 varianti del codice originale. Un’ispezione più attenta di oltre 2.700 campioni (che rappresentano il 98% dei rilevamenti) ha rivelato che il codice si è evoluto per bypassare il “kill switch” e tutte queste varianti contenevano un componente inefficace ed incapace di criptare i dati.
L’Italia tra i paesi più attaccati
Nell’agosto 2019, la telemetria di Sophos ha rilevato 4,3 milioni di casi di WannaCry. Il numero di diverse varianti osservate è stato di 6.963. Di questi, 5.555 – o l’80% – erano nuovi file. I ricercatori di Sophos hanno anche tracciato la prima apparizione della variante corrotta più diffusa di oggi e che risale a soli due giorni dopo l’attacco originale: 14 maggio 2017, quando è stato caricato su VirusTotal, ma non era ancora stato osservato in azione.
I SophosLabs hanno individuato e bloccato in tutto il mondo questo tipo di attacchi, e in particolare: negli Usa (22%), in India (8,8%) e in Pakistan (8,4%). L’Italia, con il 5,7% risulta essere il paese europeo più attaccato dalle nuove versioni del malware WannaCry.
“L’epidemia di WannaCry del 2017 ha cambiato per sempre il panorama delle minacce. La nostra ricerca evidenzia quanti computer non patchati siano ancora là fuori, e se non avete installato aggiornamenti che sono stati rilasciati più di due anni fa – quante altre patch vi sono sfuggite?”, dice Peter Mackenzie, specialista della sicurezza di Sophos e autore principale della ricerca. “In questo caso, alcune vittime sono state fortunate perché le varianti del malware le hanno immunizzate contro le versioni più recenti. Ma nessuna azienda dovrebbe fare affidamento su questo. Una politica di installazione di patch ogni qual volta che vengono emesse dovrebbe essere ormai consolidata, così come l’implementazione di una soluzione di sicurezza efficace in grado di proteggere tutti gli endpoint, le reti e i sistemi”