Secondo un’analisi condotta dai SophosLabs la minaccia del malware WannaCry rimane attiva con milioni di attacchi rilevati ogni mese. Nonostante il codice del malware originale non venga aggiornato da tempo, vengono rilasciate diverse migliaia di piccole varianti.
Le nuove versioni di WannaCry sono in grado di evitare il “kill switch” (il dominio inserito nel codice dai cybercriminali per bloccare la sua diffusione). I ricercatori di Sophos hanno analizzato ed eseguito un alto numero di varianti del malware e hanno scoperto che l’abilità di criptare i dati è stata neutralizzata dopo la corruzione del codice.
Per infettare nuove vittime, WannaCry controlla innanzitutto se il computer è già stato attaccato e, in caso positivo, cambia obiettivo. Per questo motivo, l’infezione di una versione inerte del malware protegge efficacemente il dispositivo dall’infezione con il ceppo più pericoloso.
Il malware originale WannaCry è stato rilevato solo 40 volte e da allora i SophosLabs hanno identificato 12.480 varianti del codice originale. Un’ispezione più attenta di oltre 2.700 campioni (che rappresentano il 98% dei rilevamenti) ha rivelato che il codice si è evoluto per bypassare il “kill switch” e tutte queste varianti contenevano un componente inefficace ed incapace di criptare i dati.
Nell’agosto 2019, la telemetria di Sophos ha rilevato 4,3 milioni di casi di WannaCry. Il numero di diverse varianti osservate è stato di 6.963. Di questi, 5.555 – o l’80% – erano nuovi file.
L’Italia, con il 5,7% risulta essere il paese europeo più attaccato dalle nuove versioni del malware WannaCry.