I cybercriminali si sono dimostrati ancora una volta capaci di colpire su larga scala attraverso i ransomware: è di ieri, infatti, la notizia dell’attacco Petya o, più probabilmente, di una sua variante, che si è dimostrato capace di mettere in ginocchio aziende di ogni parte del mondo. Digital4Trade ha cercato di capire con l’esperto di sicurezza Luca Bechelli, quali siano le origini e le conseguenze di questa ennesima minaccia informatica. «Sicuramente per quello che si è potuto vedere questo attacco è ancora più critico rispetto a Wannacry: innanzitutto il malware appare più sofisticato, anche se in realtà è il risultato dell’assemblaggio di vulnerabilità già diffuse. In buona sostanza gli exploit che consentono la violazione sono gli stessi che erano già presenti con Wannacry. A differenza di quest’ultimo, però, è in grado di utilizzare più di un exploit a seconda del sistema che vuole infettare. Non solo: non è disinnescabile in nessuna maniera, non esiste il “pulsante di spegnimento”, con cui si è impedita l’ulteriore propagazione di Wannacry. Una possibile regia russa dietro l’attacco? In realtà molti dei sistemi colpiti sono stati proprio russi, dunque riterrei improbabile che la Russia possa esserne la capofila. Certo, oggi chi si ritrova a essere vittima di questo attacco sicuramente non ha ancora adottato patch o altre soluzioni che lo potessero limitare».
Indice degli argomenti
Sistemi Scada sempre più vulnerabili
Il problema delle patch non è però di poco conto, soprattutto se si va a vedere la tipologia di vittime sono state colpite con Petya, vale a dire imprese industriali, grandi utilizzatrici di sistemi Scada. E aggiornare un sistema Scada, fa notare Bechelli, non è esattamente la stessa cosa che ricordarsi di patchare il proprio pc di casa: «I sistemi industriali ti tipo Scada presentano dei vincoli derivanti dai produttori di software che rendono complesso l’aggiornamento. In buona sostanza questo spesso non è materialmente possibile sin quando il singolo produttore non ha verificato che l’aggiornamento non intralci il corretto funzionamento del software di queste applicazioni verticali. Inoltre, a differenza che nel passato, i sistemi Scada non sono più chiusi e offline, ma sempre di più dialogano con la rete per attività di manutenzione e monitoraggio. Dunque oggi la superficie di attacco è nettamente più ampia, è senza dubbio difficile isolarli completamente da Internet. Questo spiega perché i sistemi industriali, tra cui la centrale di Chernobyl, siano stati particolarmente colpiti da questo attacco e proprio la particolarità delle vittime, dal mio punto di vista rappresenta l’elemento più significativo di Petya».
Meglio non pagare il riscatto
La domanda è se questa medicina indigesta riuscirà a vincere le resistenze delle aziende di adeguati investimenti in sicurezza. La risposta di Bechelli è interlocutoria: «Dopo Wannacry vedo senz’altro una maggiore sensibilità verso alcune tematiche, anche se si tratta di aspetti difficili da vedere finalizzati nel breve termine. Petya sicuramente potrebbe incoraggiare la consapevolezza delle aziende industriali, che nel passato non erano così esposte. Da questo punto di vista questo ultimo attacco ha avuto effetti peggiori di Wannacry, ancora più pericolosi. In futuro mi aspetto che vedremo ancora attacchi basati su questo exploit che potranno generare delle conseguenze preoccupanti». Consigli utili per gli utenti finali? Per l’esperto del Clusit è fondamentale non pagare il riscatto e per ragioni esclusivamente pratica. Il provider della casella di posta elettronica ha disattivato la mail di riferimento dell’attacco Petya. Dunque non c’è modo di segnalare agli hacker l’eventuale pagamento, che è destinato ad andare a vuoto.