Quali erano i veri obiettivi di chi ha progettato​ la variante di​ Petya, l’ultimo ransomware a propagarsi su scala globale​?​ Racimolare denaro, testare la ​sicurezza de​i sistemi di alcuni dei soggetti hackerati​, ​condurre un’azione dettata da logiche geopolitiche o, ancora, procurare puro danno? In ragione di alcune caratteristiche considerate ‘inusuali’ per un virus di questo tipo, gli esperti sono divisi sulle reali ragioni dell’attacco.

COSA ALIMENTA I SOSPETTI

Per Stefano Zanero, professore associato del DEIB, il dipartimento di computer engineering del Politecnico di Milano, “esistono numerosi indicatori che legittimano il sospetto che questo nuovo malware non sia stato veramente progettato per monetizzare”. Innanzitutto, sottolinea, “l’infrastruttura per ricevere i pagamenti – una mail sola e un indirizzo bitcoin – non è resistente ed infatti è stata disabilitata entro poche ore dal provider e-mail coinvolto” (Posteo, ndr). In secondo luogo, prosegue Zanero, “il codice di Petya – che in parte è stato copiato in questo malware – era in grado di ripristinare, dopo il pagamento, il ‘boot record’ del disco colpito, mentre il codice di questo malware lo distrugge irreparabilmente”. A ciò, rimarca ancora l’esperto, va inoltre aggiunto che “le meccaniche di propagazione sono principalmente orientate al movimento laterale, ovvero all’invasione della rete locale in cui il worm è entrato, piuttosto che alla propagazione verso sistemi terzi. Combinando questo fattore con il fatto che la propagazione iniziale sarebbe stata collegata ad un aggiornamento ‘avvelenato’ per un software ampiamente utilizzato a fini fiscali in Ucraina – me-doc.com -, diventa plausibile uno scenario molto diverso, ovvero che questo malware sia stato creato al fine di essere diffuso nelle aziende ucraine per paralizzarle, causando notevoli danni localizzati principalmente in una specifica nazione”.

DIVERSE RAGIONI

La variante di Petya di cui si discute – commenta a Cyber Affairs Gabriele Faggioli, adjunct professor del Mip del Politecnico di Milano e presidente del Clusit (Associazione Italiana per la Sicurezza Informatica) – “potrebbe contenere al suo interno codice non mirato solo a bloccare l’accesso ai dati ma anche a distruggere o carpire i dati stessi. Questo comporterebbe che il suo utilizzo potrebbe essere indirizzato a prendere possesso di informazioni di potenziale interesse per diversi soggetti o a generare danni ingenti”. Secondo l’esperto, “c’è anche da sottolineare che i ritorni che si riescono ad avere in termini economici sono molto bassi perché vengono bloccati i sistemi di comunicazione e questo determina che lo sforzo per un attacco di questa portata non viene certo ripagato”. Se si esclude il guadagno, le motivazioni che potrebbero spingere qualcuno a condurre un’offensiva di questo tipo, aggiunge Faggioli, “possono essere molteplici ed è ovvio che in un mondo come quello attuale caratterizzato da molteplici conflitti non necessariamente armati, arrecare danni ai sistemi informativi avversari o carpire informazioni strategiche può avere un valore estremamente elevato”.

​LO​ SCENARIO

A dare una possibile lettura geopolitica di quanto accade è Andrea Zapparoli Manzoni, esperto che da molti anni analizza le dinamiche del cyber crime, secondo il quale, nel caso di Petya, “la teoria dei cyber criminali incompetenti non sta in piedi, anche alla luce dell’attacco di un mese fa realizzato con WannaCry”.
“Qualcuno – dice l’esperto a Cyber Affairs – ha capito quello che avevo già evidenziato nel Rapporto Clusit 2013, ovvero che se l’Occidente dovesse sul serio investire in sicurezza informatica, impegnando non le risorse attualmente allocate ma quelle necessarie – ovvero almeno 10-15 volte i budget odierni – il modello organizzativo e di business della digital society non reggerebbe più. La ragione è semplice: quelle risorse – sia economiche sia in termini di skill – non sono state previste e dunque non ci sono”.

Per questo, ipotizza Zapparoli Manzoni, “chi attacca prova a destabilizzarci, dimostrando che la nostra security è assolutamente inadeguata. Lo fa per spingerci sulla strada di investimenti insostenibili, un po’ come gli Usa fecero per far crollare l’Urss alimentando la corsa agli armamenti. Questa destabilizzazione del sistema”, conclude l’esperto, “viene veicolata tramite la generazione di perdite importanti – alte, ma non troppo – camuffate da attacchi cyber criminali. La prova sta nel fatto che a fronte di questa campagna di ransomware, che finora ha fruttato a livello globale circa 7 Bitcoin – poco meno di 18mila dollari – ci sono stati danni stimabili in centinaia di milioni. Questo non è il modus operandi di cyber criminali professionisti, che puntano a massimizzare i guadagni facendo il minimo ‘rumore’ possibile”.

UN MALWARE FATTO MALE?

A nutrire dubbi su questa ipotesi è invece Stefano Mele (nella foto), presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano. “Attualmente”, dice a Cyber Affairs, “in Petya io vedo solo un ransomware fatto veramente male. Non dico ciò solo per la gestione dei riscatti/pagamenti attraverso un solo indirizzo email o per avere previsto un solo wallet per riceverli, che sono entrambe cose davvero molto inusuali. Parlo anche della ‘ingegnerizzazione’ stessa del malware, che, come è stato detto da numerosi ricercatori, non avrebbe comunque mai portato alla decrittazione dei file dei soggetti paganti”. Perché, si chiede Mele, “se qualcuno – magari uno Stato – volesse bloccare le nostre infrastrutture critiche attraverso un attacco informatico dovrebbe perdere tempo a realizzare, peraltro appesantendo inutilmente il codice, un malware che al suo interno ha finte funzioni di ransomware, che saranno scoperte alla prima analisi degna di questo nome? Perché non crearne direttamente un malware che fa semplicemente quello che si vuole realizzare? Del resto, l’esperienza ci insegna in maniera chiara che esistono moltissime cyber armi di questo tipo, come ad esempio il recentissimo CrashOverride”.

Alla base dei numerosi dubbi sulle vere ragioni dell’attacco ci sarebbe, secondo Mele, la convinzione, sbagliata, “che questi criminali siano sempre perfetti e infallibili. Che siano tutti programmatori di altissimo livello in grado di realizzare unicamente e costantemente malware di qualità cristallina e capaci di fare esattamente tutto quello che era previsto”. Invece, sottolinea Mele, “io non credo che sia così. Soprattutto se analizziamo l’enorme quantità di malware che viene giornalmente prodotta da zero o riassemblata partendo da altri malware già conosciuti – circa 320mila nuovi sample al giorno – e che magari non riescono, per mille ragioni, ad avere tale diffusione e notorietà pubblica”. Piuttosto, rileva, “credo che gli uomini possano sbagliare, anche quelli che di lavoro fanno gli sviluppatori di malware o i criminali informatici. Insomma, come successe per WannaCry, cercare sempre a posteriori una ragione che faccia quadrare il tutto in maniera logica è a mio avviso un bias cognitivo molto pericoloso e da non sottovalutare”. Tuttavia, conclude Mele, “se si guarda non a questo episodio specifico ma al quadro nella sua interezza, è evidente che stiamo assistendo a delle prove generali di metodologie di attacco e di utilizzo di pezzi di malware che saranno presto impiegati per qualcosa di decisamente più complesso e dannoso. A mio avviso, infatti, nell’arco di pochissimo tempo vedremo un attacco di tipo ransomware contro sistemi ICS/SCADA, ovvero un attacco cibernetico specificamente forgiato per colpire, bloccare e magari danneggiare a livello globale le nostre infrastrutture critiche”.