E’ stata la settimana di WannaCry, il ransomware che ha fatto veramente piangere centinaia di migliaia di persone in tutto il Mondo e del giovane che lo ha bloccato. Non tutti sanno però che, proprio nei giorni dell’attacco, proprio il ventiduenne, oramai noto come MalwareTech, artefice della scoperta del Killswitch utilizzato per bloccare WannaCry, ha riscontrato sui propri server un attacco DDoS (Distributed Denial of Service). Lo stesso attacco è stato notato nell’infrastruttura del ricercatore Matthieu Suich, quello che aveva avanzato l’ipotesi che il ransomware potesse essere opera della Corea del Nord, riscontrando similitudini nel codice di WannaCry e Contopee, una backdoor scoperta nel 2016 da Symantec.
Cos’è un DDoS (Distributed Denial of Service)
Il DDoS è un attacco di tipo DoS (Denial of Service) con la differenza che è distribuito, cioè molti computer infetti mirano ad un unico sistema intasandolo di e sovraccaricandolo con una grossa quantità di traffico rendendo il servizio o i dati non disponibili, intaccando uno dei principi cardine della sicurezza informatica la CIA: Confidentiality, Integrity e Availability ovvero Confidenzialità, Integrità e Disponibilità dei dati.
Today's Sinkhole DDoS Attack pic.twitter.com/wxT2YUrdOF
— MalwareTech (@MalwareTechBlog) May 18, 2017
E il sinkhole?
Il sinkholing è una tecnica utilizzata dai ricercatori informatici per reindirizzare traffico malevolo verso un server in grado di acquisire informazioni e dati utili per l’analisi ed il contrasto. Deviando il traffico su un server predisposto si impedisce all’attaccante di raggiungere il vero obbiettivo e si riesce ad acquisire informazioni utili per analizzare a posteriori la tipologia di attacco, le macchine coinvolte, l’entità dei danni.
Abbattere il sinkhole
Tra le righe, il ricercatore Suiche fa capire che l’obiettivo degli attaccanti è quello di abbattere il sinkhole, cosicché il traffico non venga più dirottato. Se questo accadesse il ransomware WannaCry continuerebbe a diffondersi nel mondo, infettando quelle macchine che ad oggi non sono ancora state aggiornate e continuano ad essere vulnerabili al malware.
Also noticed a DDoS attacks on our #WannaCry sinkhole too. Cc @MalwareTechBlog pic.twitter.com/CcEIrahAq8
— Matt Suiche (@msuiche) May 18, 2017
