Il ransomware WannaCry contiene un killswitch , un URL che, una volta registrato, ha causato l'arresto del malware.
La domanda è: chi ha inserito l'interruttore?
Erano i cattivi? Era la NSA? Potrebbe essere stato qualcun altro?
Il ransomware WannaCry contiene un killswitch , un URL che, una volta registrato, ha causato l'arresto del malware.
La domanda è: chi ha inserito l'interruttore?
Erano i cattivi? Era la NSA? Potrebbe essere stato qualcun altro?
I cattivi mettono il killwitch nel proprio malware. Non poteva essere qualcun altro, dal momento che la vulnerabilità del malware era nel codice del malware.
È prassi comune per i malware controllare se ci si trova in un ambiente sandbox per impedire la reverse engineering (tramite MITM, ad esempio) e per facilitare lo sviluppo.
Non sono riusciti a implementare un controllo corretto, dal momento che la registrazione di un dominio ha impedito al malware di crittografare qualsiasi cosa.
Immagino che fosse l'NSA.
Per uno dei due motivi.
Come attore statale responsabile, come minimo avrebbero voluto avere un modo per arrestare il malware se qualcosa fosse andato storto. Quindi inseriscono questo URL.
Potrebbero non aver inteso che fosse un killwitch. Potrebbe essere effettivamente destinato a Comand e Control Center, ma in tal caso, non risponderà correttamente, il che potrebbe significare che il comportamento dell'interruttore di selezione è accidentale.
E poi, quando i cattivi hanno riorganizzato l'exploit della NSA (il codice che sfrutta la vulnerabilità nel codice di Microsoft) nel proprio malware, non si sono resi conto che conteneva questo comportamento o lo avrebbero rimosso o sostituito nome di dominio hardcoded con un indirizzo IP. (I nomi di dominio vengono rapidamente consegnati alle autorità in casi come questo.)
È logico che l'NSA abbia fatto questo. Avere un autodistruzione è una pratica comune nei razzi.
Non ha senso che i cattivi lo abbiano fatto. Anche se potrebbe essere successo per caso, come da risposta di Benoit.
E non vedo come avrebbe potuto farlo chiunque altro.
Leggi altre domande sui tag malware ransomware nsa