Chi non ama celebrare un anniversario e l’opportunità di ricordare “dove eravamo” quando è accaduto un evento storico? È il caso degli ultimi giorni in occasione del quinto “compleanno” di WannaCry, il ransomware che ha infettato migliaia di computer cinque anni fa e che è costato alle aziende di tutto il mondo miliardi di dollari di danni.

WannaCry ha fatto irruzione sulla scena dell’infosec il 12 maggio 2017. Sfruttando la versione vulnerabile del protocollo Server Message Block (SMB), ha finito con l’infettare circa 200.000 macchine in più di 150 paesi. Sebbene Microsoft avesse rilasciato una patch per la falla di SMB più di un mese prima dell’inizio degli attacchi, milioni di computer non erano stati protetti. Il più grande attacco ransomware mai realizzato ha colpito diversi grandi nomi a livello globale, tra cui il National Health Service del Regno Unito, il colosso delle consegne statunitense FedEx e la compagnia ferroviaria tedesca Deutsche Bahn.

“Questo storico attacco è stato uno dei più grandi di tutti i tempi e ha reso inservibili centinaia di migliaia di computer, prendendo di mira quasi esclusivamente le grandi aziende tra ospedali, fabbriche di automobili, centrali elettriche, compagnie ferroviarie… e l’elenco potrebbe continuare a lungo” ha scritto Mikko Hyppönen, un veterano della sicurezza attualmente Chief Research Officer di WithSecure.

L’attacco fu alla fine attribuito al Lazarus Group della Corea del Nord, ma quello che forse colpisce di più di WannaCry è che ha davvero aperto gli occhi su quella piaga che oggi conosciamo tutti come ransomware. Anche se già nel 2017 questo tipo di attacco non era una novità, WannaCry ha di fatto “sdoganato” il ransomware a livello globale. Su Twitter, alcuni influencer in ambito infosec hanno voluto ricordare quei giorni riflettendo al tempo stesso anche sulle lezioni apprese.

“Oggi è il 5° anniversario del ransomware Wannacry, iniziato come spillover da un attacco informatico nordcoreano. Lo spillover alla fine ha messo in ginocchio l’NHS fino a quando un fortunato ricercatore di sicurezza britannico non ha acquistato un dominio kill switch che ha fermato l’azione di WannaCry” ha twittato Gareth Corfield (@GaztheJourno), giornalista che si occupa di tecnologia e sicurezza per la sezione commerciale del Telegraph.

Il ricercatore menzionato da Corfield era l’allora 22enne Marcus Hutchins (@MalwareTechBlog), un influencer estremamente popolare su Twitter acclamato come un eroe per la sua scoperta del kill switch che ha fermato la continua diffusione del ransomware.

WannaCry è ancora in agguato

In realtà, secondo diversi esperti di sicurezza, poco sembra essere cambiato da quel giorno nel 2017 quando WannaCry colpì per la prima volta. “5 anni dopo WannaCry. Molte cose sono cambiate e molte no”, ha twittato Lisa Forte (@LisaForteUK), partner della società di sicurezza Red Goat Cyber Security. “E’ stato davvero quel cambiamento catastrofico nella percezione della sicurezza e del rischio informatico che speravamo? I governi hanno preso provvedimenti per proteggere meglio gli strumenti zero-day/sec offensivi che sviluppano? Alcuni cambiamenti a livelli di policy ci sono stati, ma sono bastati? Non penso”

“Ti do ragione. Purtroppo i processi governativi vengono elaborati e messi in atto su una scala decennale, mentre la tecnologia avanza su base mensile o addirittura giornaliera”, ha aggiunto il fondatore di TrustedSec Dave Kennedy (@geordiemuppet).

Chiaramente questo si riflette nello stato attuale di WannaCry come una delle principali minacce ancora attive e in attesa dell’opportunità giusta per colpire le aziende vulnerabili. Il giornalista Connor Jones di ITProUK sottolinea in un recente articolo che molti non si rendono conto che WannaCry si nasconde ancora attivamente nel panorama dei ransomware.

“Inoltre, i criminali informatici che utilizzano ancora WannaCry sono tornati con versioni del ransomware rielaborate e rese immuni al kill switch che cinque anni fa bloccò la diffusione degli attacchi”, scrive Jones. E se lo stato di molte reti è indicativo della situazione attuale, c’è davvero poco da festeggiare.