Tecnologia
June 28 2017
Aggiornato al 28 giugno
Petya? NotPetya? Nyetya? ExPetr? Il nome di un ransomware non è certo determinante per la sua comprensione ma aiuta a capire da dove arriva l'ultima minaccia globale alla sicurezza informatica.
A quasi 48 ore dalla prima traccia del virus, scovato in Ucraina nella mattina del 27 giugno (sotto la storia originale), sono ancora molti gli interrogativi sul chi e perché abbia diffuso un'arma che si è presto rivelata più letale di WannaCry.
"Un ransomware che rende inutilizzabili le macchine infette, cifrando il disco e quindi mettendo in disuso l'intero sistema operativo, ha una bassa resa per un cybercriminale, ma ottima se usato come strumento di interruzione" - ci aveva detto durante una conversazione privata Andrea Zapparoli Manzoni, membro del Clusit ed esperto di cybersecurity - qualcuno sta creando un bel caos per finalità non chiare e nel modo più rumoroso e psicologicamente impattante possibile. Un modus operandi piuttosto atipico per gente che preferisce di solito vivere tranquilla e non braccata da CIA, FBI e così via".
Capire chi ci sia dietro la modifica del codice del programma malevolo Petya originale, arrichito delle capacità intrusive di EternalBlue, non è semplice. Ucraina e Russia si accusano a vicenda ma pare che la base di lancio del ransom sia stata individuata proprio intorno al territorio di Mosca. Un particolare interessante ma anche fuorviante, visto che chiunque, con un programma gratuito (Tor), può navigare in rete stravolgendo la provenienza del proprio indirizzo IP.
Se inizialmente il nostro paese sembrava ben fuori dal target di Petya (o come volete chiamarlo), c'ha pensato la società di sicurezza Eset ad alzare il livello di attenzione sulla percentuale di sistemi infetti tra i nostri confini. Su una base di 100, l'Ucraina è interessata per il 78%, l'Italia per il 10% e poi Israele, Serbia, Romania, Stati Uniti, Lituania e Ungheria. Alcuni casi si sono avuti a Milano, con interi reparti IT bloccati sulla schermata rossa e la richiesta di bitcoin; oramai un classico.
Tra le vittime della prima ora anche la centrale nucleare di Chernobyl,dove a essere messi fuori uso sono stati i computer che monitorano i livelli di radiazione nelle aree circostanti. Non risultano infettati gli altri sistemi, come quelli di gestione interna (allarmi, videosorveglianza, accessi, ecc.). Qualche esperto però lega proprio all'infausta base nucleare la peggior conseguenza che una minaccia del genere potrebbe avere se indirizzata a infrastrutture critiche e, almeno sulla carta, capaci di creare danni in scala. Il primo assaggio ce lo aveva dato BlackEnergy lo scorso gennaio.
Il ricercatore Amit Serper della Cybereason ha analizzato il codice scoprendo che, per diffondersi nel computer, il virus va alla ricerca di un certo file locale, non lo trova e allora comincia a lavorare in loop, bloccando il sistema. Basterà creare quello stesso file, seppur vuoto e privo di informazioni, per rendere innocua la minaccia, che a quel punto si arresterà in automatico. Qui la procedura completa.
Storia originale, 27 giugno
Il 1 aprile del 2016, il blog tematico Malwarebytes pubblicava una complessa analisi su Petya, un ransomware che aveva già messo ko qualche compagnia in diverse parti del mondo.
La sua pericolosità, a differenza di minacce simili e più commerciali ovvero dirette anche agli utenti comuni, era nella possibilità di bloccare l’intero hard disk di un computer e non solo parte di esso.
Per fare un esempio con qualcosa di recente, se il ransomware WannaCry lascia spazio a una serie di interventi sulla macchina infetta, Petya nega in toto l’accesso al PC, tenendo sotto scacco le sue vittime.
A 14 mesi di distanza non abbiamo imparato nulla (privati e aziende), perché una versione potenziata del virus è tornata a colpire, questa volta in maniera più ampia.
Qualche avvisaglia era giunta a marzo del 2017, quando un rimaneggiamento di Petya, chiamato PetrWrap, correggeva delle debolezze della precedente, tali da permettere a un certo leostone di sbloccare il disco rigido in soli 7 secondi, smontandolo e connettendolo a un altro computer, sul quale far partire un programma creato per l’occasione. Lo stesso che, almeno in alcuni casi, sembra funzionare anche questa volta, ma solo quando invece di Petya turbo ci si imbatte nella prima generazione, magari poco conosciuta ma già sconfitta.
Ma il punto non è questo.
In un mondo digitalizzato come il nostro, dove le attività che servono milioni di persone dipendono quasi del tutto dalla rete, è possibile incorrere in problemi del genere, individuati in passato e mai affrontati concretamente? Gli ospedali della Gran Bretagna, le centrali in Ucraina e le catene di costruzione in Francia; quanto dovrà passare ancora prima di subire un blackout più esteso e duraturo?
L'attacco hacker che sta tenendo il mondo in ostaggio
“Mai come questa volta possiamo parlare di un danno evitabile - spiega in esclusiva a Panorama.itCorrado Giustozzi, esperto di sicurezza cibernetica di AgID per il CERT della Pubblica Amministrazione – la nuova minaccia è un ibrido tra Petya del 2016 e WannaCry, che ha colpito il mondo recentemente. Il codice originario è stato potenziato, inserendovi la possibilità di sfruttare Eternal Blue, la vulnerabilità SMBsviluppata dalla NSA".
"Per contrastare il ransomware delle ultime ore esistono le patch Microsoft di marzo 2017 che, dopo il caos dell’ultimo mese, tutti avrebbero dovuto applicare. Le cose sono due: o i virus si insidiano in modalità ad oggi sconosciute oppure le vittime hanno preso sottogamba la situazione, lasciando perdere ogni aggiornamento. C’è però una differenza rispetto a WannaCry; con Petya il primo contagio sembra provenire da una mail con il solito allegato infetto, quindi qualcuno deve attivamente portare la minaccia all'interno della rete, forse scegliendo con cura l’obiettivo e non gettando l’amo casualmente” (come capita ad esempio con la tecnica del phishingndr.).
Cybercrime, quanto ci costa e come difendersi
La società di sicurezza Kaspersky, nell’analizzare il ransomware, afferma che non si tratta di una modifica di Petya ma di un software tutto nuovo, seppur basato in parte su Eternal Blue. Tracce del codice maligno sarebbero state individuate anche in Italia, anche se al momento non vi sono informazioni a riguardo.
La situazione è talmente complessa che un altro big del settore, Symantec, continua a battere sulla strada del Petya 2.0, giusto per renderci conto di quanto l’insicurezza del momento giochi a favore dei criminali cibernetici, che pure si staranno portando a casa un bottino consistente, visto l’equivalente di 300 dollari in bitcoin chiesti per ritornare in possesso dei file sul PC (mai assicurato anche dopo il pagamento).
Se le aziende di grandi dimensioni passeranno ore non facili, gli utenti singoli possono, come sempre, intraprendere delle azioni per evitare di incorrere nel problema, al pari del caso WannaCry: