¿Una computadora infectada por Wannacry en una red interna con una dirección IP privada intenta propagarse a otras subredes con direcciones privadas?
No he encontrado una respuesta definitiva en línea.
Cisco dice:
El primer hilo comprueba la dirección IP de la máquina infectada y intenta conectarse a TCP445 (SMB) de cada host / dirección IP en el la misma subred y el segundo hilo generan una dirección IP aleatoria en la Internet para realizar la misma acción.
Lo que implica que Wannacry solo se propaga dentro de una subred (direcciones públicas o privadas) y a direcciones IP públicas, por lo que las subredes privadas adyacentes son seguras.
Microsoft dice:
La amenaza evita infectar la dirección IPv4 si se genera aleatoriamente el valor para el primer octeto es 127 o si el valor es igual o mayor 224, para omitir las interfaces locales de bucle invertido.
Esto implica que Wannacry solo descarta las direcciones de bucle invertido y de multidifusión / reservadas. Esto significaría que una dirección IP privada podría generarse aleatoriamente y Wannacry podría saltar a otra subred privada.