L’allerta non è scattata nel weekend come avvenuto con Wannacrypt (12 maggio 2017) ma Petya, “presunto” ransomware che si appoggia all’exploit NSA EternalBlue, ha fatto parlare molto di sè. Sebbene i telegiornali nazionali non abbiano ripreso la notizia (vi erano altre vicende più importanti da seguire non inerenti il mondo della tecnologia), Petya sta creando diversi problemi. Iniziamo in ogni caso dal principio.
Tra il 26 ed il 27 giugno la news circa la diffusione rapida di un ransomware simile a Wannacrypt è apparsa su diversi portali specializzati come ArsTechnica e Data Center Knowledge. I giornalisti parlavano di almeno 80 aziende colpite tra Russia ed Ucraina tirando in ballo anche la tristemente nota centrale di Chernobyl. Nel giro di alcune ore gli aggiornamenti sulla vicenda hanno portato il numero di computer coinvolti a cifre più preoccupanti – oltre 10000 tra il 27 e 28 giugno.
In un primo momento, teniamo a mente l’indicazione temporale, gli esperti di sicurezza parlano di una variante del ransomware Petya, a sua volta “ispirato” al più noto Wannacrypt. Il malware si appoggia infatti all’exploit EternalBlue, scoperto tempo fa dall’NSA e trafugato illegalmente ad Aprile 2017 dagli hacker di Shadow Brokers i quali lo hanno poi diffuso in Rete. Sfruttando una falla del protocollo SMB v1, il malware infetta l’obiettivo e ne critta le unità di archiviazione, richiedendo in cambio della chiave di sblocco un pagamento in BitCoin (intorno ai 300 dollari).
Con il passare delle ore emergono altri dettagli – sia sull’attacco che sulla vera “natura” del malware stesso. Con alcune sorprese.
Dal “paziente zero” allo stato di allerta.
L’azienda che sarebbe stata colpita per prima da Petya (anche se si tratta di una variante utilizzeremo questo nome per comodità) è l’ucraina MeDoc. Gli esperti di sicurezza ipotizzano che il sistema di rilascio aggiornamenti dei servizi di contabilità sia servito da “prezioso” tramite per ampliare il raggio d’azione iniziale del ransomware. L’idea degli hacker si è rivelata vincente perchè sono successivamente cadute nella trappola ben più note aziende come DLA Piper (multinazionale di servizi legali), Mondelez International (multinazionale del settore alimentare) e la Merck, una delle più grandi società farmaceutiche del mondo.
Per quanto riguarda il ransomware, il codice è sembrato simile a quello di Wannacrypt. Un inequivocabile messaggio compare sui monitor dei terminali infetti chiedendo il pagamento di un riscatto. Gli esperti hanno tuttavia notato diverse migliorie rispetto al malware di maggio. Innanzitutto l’impiego di un altro exploit NSA, EternalRomance, che prende sempre di mira SMB v1. In secondo luogo la presenza di uno strumento (Mimikatz) in grado di ottenere le credenziali di accesso dei computer ed inviarle ad un server centrale di raccolta. Grazie a quest’ultimo è possibile accedere, nel caso in cui il tentativo vada a buon fine, agli altri computer connessi alla stessa rete, infettarli ed utilizzarli per procedere alla diffusione del malware. Sistemi operativi aggiornati ed immuni all’exploit NSA sono stati così coinvolti ugualmente nell’attacco.
Ma si tratta davvero di un ransomware?
“Wannacrypt” era pieno di stupidi bug e problematiche (come il killswitch), questo [malware] non ha alcun killswitch e sembra invece un lavoro di persone con a disposizione budget di sviluppo non trascurabili” ha osservato un esperto su Twitter.
E quel che è emerso lo scorso fine settimana è ancora più grave: la variante di Petya non sarebbe in realtà stata pensata per ricattare gli utenti ed accumulare soldi bensì per provocare unicamente danni. La teoria è stata avvallata da più fonti, Matt Suiche (Comae Technologies Inc.) ha affermato che “questa variante di Petya cancella i settori iniziali degli hard disk in modo simile a quanto visto con malware come Shamoon. Crediamo che [la storia del ransomware fosse un semplice tentativo di sviare l’attenzione dei media, soprattutto a seguito degli incidenti causati da Wannacrypt, ed attirare la loro attenzione su un presento gruppo di misteriosi hacker piuttosto che su qualcuno che mira ad attaccare uno Stato – come visto in precedenti casi nei quali sono entrati in campo wipers come Shamoon]”.
Yonathan Klijnsma (RiskIQ Inc.) ha aggiunto: “è importante tenere a mente che non si tratta di Petya. [E’ una variante che ha preso ispirazione dall’originale imitandone il modus operandi. […] Sembra che la parte di codice relativa al pagamento dei riscatti non sia stata pensata per funzionare a dovere, ciò significa che [chi ha lanciato l’attacco] era forse più interessato a fare danni piuttosto che ai soldi]” ha concluso.
Ecco perchè da Petya e PetyaWrap si è passati ad indicare il malware con il nome “NotPetya”. Occorrerà come al solito attendere alcune settimane per svelare tutti (o quasi) i retroscena di questo ennesimo e “clamoroso” attacco informatico.