Che cosa hanno a che fare le email con la diffusione di WannaCrypt?

Secondo Craig Williams di Cisco il motivo per l'e-mail di infor- mazione era un altro nuovo attacco che è avvenuto quasi contemporaneamente a WannaCry:

A likely point of confusion was the Jaff ransomeware, another new type of ransomware (so 2 new types in 2 days) that did spread via email, used the same executable name. It’s possible this lead some folks to the wrong conclusion. Many sites are including pictures of emails that are clearly Jaff. It’s also possible we’ve not seen everything yet but only time will tell. As we state in the blog it’s an ongoing investigation.

Molte organizzazioni non hanno SMB esposte direttamente a Internet, ma SMB è ampiamente utilizzato internamente dalle organizzazioni.

Si ritiene che il vettore di attacco iniziale per WannaCry sia / sia un messaggio dannoso. Una volta infettato un singolo computer su una rete di computer vulnerabili, è in grado di propagarsi ad altri host vulnerabili sulla rete tramite la vulnerabilità MS17-010.

La logica è la seguente: le porte SMB non dovrebbero essere aperte verso internet. Dovrebbe esserci un firewall intermedio. In tal caso, il malware non sarà in grado di influenzarti direttamente.

Ma se un utente lo scarica e lo attiva, il malware si trova all'interno della rete e sarà in grado di espandersi a piacimento senza avere nulla a che fare con il firewall.