Fonte: lastampa.it
È stato un esperto di cybersecurity di appena 22 anni che, quasi per caso, ha bloccato la diffusione su tutto il pianeta di WannaCry, il micidiale virus ransomware che ha mandato in tilt organizzazioni del calibro di FedEx e Telefonica, ma anche il Servizio sanitario britannico e la Renault: ha comprato per pochi dollari il nome di dominio nascosto nel programma e ne ha impedito la diffusione, per esempio negli USA.
In sostanza l’analista ha usato e attivato «un interuttore-killer», che era scritto nel malware stesso, una sorta di pulsante di emergenza, con ogni probabilità voluto da chi ha creato il virus per disattivarlo quando avesse voluto. Si è accorto infatti che quando procedeva ad attaccare un nuovo computer, WannaCry provava a contattare la pagina web: se falliva, WannaCry andava avanti con l’attacco, ma se aveva successo si fermava. E ne ha dedotto che se WannaCry non poteva avere accesso a quel dominio avrebbe cominciato a funzionare in maniera erratica nella rete, cercando nuovi siti da attaccare, fino a disattivarsi. Come infatti è successo.
L’analista, che twitta da un account chiamato, @malwaretechblog, ha ammesso di non aver realizzato, quando comprava il dominio per appena 10,69 dollari, che avrebbe messo a segna un colpo così fortunato. Parlando a The Daily Beast, Malware Tech ha spiegato di aver notato il nome di un dominio, una sequenza di lettere priva di senso il cui finale era sempre lo stesso, gwea.com, nel codice: «Ho visto che non era ancora registrato, ho pensato che l’avrei preso». A quel punto. Lo ha acquistato su NameCheap.com per 10,69 dollari. Ma appena il dominio è stato attivo, ha capito la potenza dell’attacco: ha cominciato a registrare migliaia di connessioni, «cinque/seimila al secondo». E si sono bloccati migliaia di attacchi, ma lui ha ammesso di averlo fatto «solo per caso».
Nel momento in cui @malwaretechblog registrava il dominio era troppo tardi per aiutare chi era sotto attacco in Europa o Asia; ma chi era in Usa ha avuto il tempo di mettersi al riparo prima che i loro sistemi informatici fossero colpiti.
Torna all'elenco