Non se ne conosce il nome, ma è la persona più famosa di questi giorni. Il ventiduenne identificato sotto lo pseudonimo di MalwareTech è l’eroe del momento. Gli sono bastati 10 dollari e 69 cents, ma ci è voluto un cervello straordinario come il suo per riuscire nell’intento. Chi è incuriosito dai dieci “verdoni” e dalla manciata di spiccioli troverà solo più avanti la spiegazione della somma in questione che – a dispetto dei tempi e dello scenario puntuale – è irrisoria e non in bitcoin.

Originario dell’Inghilterra sudorientale, si sa che MalwareTech lavora da un anno e due mesi per la società californiana Kryptos Logic e si occupa davvero di cyber security (da quando il contesto è venuto di moda e lascia intravedere un business ciclopico, anche il mio idraulico fornisce consulenza nel settore). Il giovanotto ha mandato al tappeto WannaCry ma, con grande onestà intellettuale, si è premurato di avvisare che il “mostro” avrebbe potuto rialzarsi.

Alla “facilità” di disporre rapidamente di un antidoto, infatti, corrisponde l’altrettanto celere possibilità per l’attaccante di variare la miscela di istruzioni nel programma ransomware utilizzato per fare danno. Lo spunto sul da farsi gli è venuto leggendo un tweet del suo “collega” Darien Huss della concorrente società Proofpoint.

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2 — Darien Huss (@darienhuss) 12 maggio 2017

L’immagine di una porzione di codice del micidiale ransomware gli è bastata per capire che WannaCry indirizza i computer infettati ad un sito inesistente. Non trovando il sito, il programma continua l’esecuzione dei suoi comandi e quindi dà luogo alla cifratura di tutti i file presenti su tutti i dischi locali, esterni o comunque “raggiungibili”. Quella manciata di istruzioni è una sorta di interruttore per bloccare l’attività nefasta: chi ha creato WannaCry avrebbe potuto fermare il suo schiacciasassi virtuale mettendo in funzione il sito.

Il geniale MalwareTech si è sbrigato a registrare il nome e a creare il dominio in questione (ecco la spiegazione dei 10.69$), e automaticamente ha cominciato a calamitare migliaia e migliaia di computer appena addentati dal ransomware ma per fortuna dirottati prima che l’indesiderata cifratura dei file avesse luogo.

Oltre ad aver arginato la drammatica situazione, queste connessioni gli hanno permesso di dare una effettiva dimensione della “pestilenza” in corso e soprattutto gli hanno dato modo di scoprire quali realtà istituzionali o imprenditoriali fossero coinvolte in questa terribile avventura. Proprio grazie ai log del sito su cui venivano dirottati i computer infetti, MalwareTech ha provveduto ad informare aziende ed enti che probabilmente non si erano nemmeno accorti di essere in pericolo.

Purtroppo, i più moderni malware contengono un algoritmo in grado di modificare il nome del sito che fa da “bivio” (cioè quel dominio che – esistendo – blocca la propagazione maligna). È una specie di blindatura di chi progetta il ransomware e vuole evitare che qualcuno come MalwareTech possa intromettersi ostacolando la malvagità pianificata. Il gigante cattivo si è già rialzato, ma adesso si sa almeno come rallentarne la corsa e smorzarne l’impeto.

Vedremo cosa succederà nelle prossime ore.

@Umberto_Rapetto