A poco più di un mese dal devastante WannaCry, un altro ransomware – un tipo di malware progettato per estorcere denaro alle sue vittime – ha colpito sistemi informatici in mezza Europa, in India, Ucraina, Usa e Russia.
CHI È STATO COLPITO
L’elenco dei soggetti interessati dal ransomware è già piuttosto lungo – circa un’ottantina – e forse destinato ad aumentare: tra questi ci sarebbero il gigante petrolifero russo Rosneft, la Banca centrale ucraina, il sistema di monitoraggio delle radiazioni nella centrale nucleare di Chernobyl, la compagnia di trasporto marittimo e cantieristica navale danese Maersk, il colosso pubblicitario britannico WPP, l’industria francese Saint-Gobain, la multinazionale dell’alimentare Mondelez e l’americana Merck Sharp & Dome.
IL RANSOMWARE
“Da due sample analizzati – spiega a Cyber Affairs Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale per lo sviluppo del Cert della Pubblica Amministrazione e membro del Permanent Stakeholders’ Group dell’Agenzia dell’Unione Europea per la Sicurezza delle Reti e delle Informazioni (Enisa) – si evince che nel codice di Petya sarebbe stata inserita la stessa routine utilizzata da WannaCry. Mi riferisco ad EternalBlue, il tool che si suppone sia stato rubato dalla Nsa e diffuso dal gruppo criminale Shadow Brokers. Questo ransomware sarebbe dunque un ibrido di due minacce note che una buona parte degli antivirus aggiornati è in grado di riconoscere. Infatti, pare che questa volta si stia diffondendo utilizzando in più fasi diversi vettori, anche la classica mail. Per ciò che sappiamo in questo momento, non sembrano esserci fattori nuovi che giustifichino una tale propagazione, se non la sciatteria di alcuni amministratori di sistema che non hanno provveduto a prendere le necessarie accortezze”.
LO SCENARIO
Per Pierluigi Paganini, Chief Technology Officer presso CSE Cybsec Enterprise, “ancora una volta ci si confronta con un attacco su scala globale basato su ransomware che stanno bloccando computer in molti Paesi”. “Il primo aspetto che sorprende di quest’attacco”, rimarca a Cyber Affairs, “è sicuramente la velocità di propagazione della minaccia, sopratutto dopo il caso WannaCry. Era lecito attendersi una maggiore resilienza a questa tipologia di attacchi proprio perché appena 5 settimane fa i sistemi di mezzo mondo ne sono stati vittime. Invece eccoci qui contare il numero di infrastrutture critiche di molti paesi sono seriamente minacciati dal nuovo ransomware. Aeroporti, metropolitane, banche, aziende del comparto energetico e e telecomunicazioni, e perfino giganti della logistica”.”Secondo elemento di interesse – aggiunge l’esperto – è il punto di propagazione dell’infezione. Stando alle informazioni raccolte, il maggior numero di sistemi colpiti è localizzato in Ucraina e Russia. Da questi paesi potrebbe quindi esser stata originata la minaccia che si è poi diffusa in Europa”.Terzo elemento “da non sottovalutare”, dice ancora Paganini, “è l’eventuale scelta del ransomware Petya, differente per genesi da altri ransomware perché in luogo di cifrare uno ad uno i file rende non operativi i computer cifrandone la master file table (MFT) utilizzata dai sistemi operativi per l’accesso ai file sui dischi. Questa modalità di attacco rende questo ransomware più veloce rispetto ad altri, un fattore cruciale in un attacco che utilizza questa tipologia di malware. Se confermato il vettore di infezione”, conclude, “non possiamo che prende atto che il successo di tali minacce è ancora una volta causato da una scarsa postura di sicurezza delle imprese ed organizzazioni di tutto il mondo, e chi ha mosso l’attacco ne è cosciente”.
L’IPOTESI DI KASPERSKY
A differenza della maggior parte degli esperti, gli analisti di Kaspersky Lab – secondo i quali anche l’Italia sarebbe stata colpita – sostengono che “i risultati preliminari suggeriscono che non sia una variante del ransomware Petya al contrario di quanto pubblicamente riportato, ma un nuovo ransomware che non è mai stato visto prima. Ecco perché l’abbiamo chiamato NotPetya”. Questo, aggiunge la società di sicurezza in una nota, “sembra essere un attacco complesso che coinvolge diversi vettori d’attacco” e confermano “che un exploit modificato EternalBlue è utilizzato per la propagazione almeno all’interno delle reti aziendali”.
COME FUNZIONA
Come funziona questo genere di attacchi? A seguito dell’infezione di un ransomware, in genere gli autori dell’offensiva richiedono alla vittima un pagamento in denaro in cambio dell’annullamento delle modifiche apportate al computer colpito: ad esempio per decifrare dei file del sistema vittima cifrati dall’attaccante, restituire dei dati privati della vittima magari esportati su siti pubblici, o sbloccare il sistema bloccato dal virus. Dalle informazioni fornite da diverse società in questo caso la richiesta di riscatto in bitcoin pervenuta alle vittime sarebbe di circa 300 dollari in bitcoin.