Nelle scorse settimane, dopo una pausa brevissima, il mondo è tornato precipitosamente a parlare di sicurezza. Il merito o, meglio dire la colpa, è dell’attacco che ha colpito in particolare Russia e Ucraina, andando persino a mettere fuori uso alcuni sistemi di controllo della famigerata centrale nucleare di Chernobyl. Inizialmente l’attacco era stato ribattezzato Petya, dal nome di un malware già noto da alcuni mesi, poi si è cominciato lentamente a comprendere che avevamo avuto a che fare con una minaccia del tutto particolare, tanto che uno dei principali vendor del settore, Kaspersky Lab, l’ha ribattezzata NotPetya. Come racconta Giampaolo Dedola, Security Researcher, Global Research and Analysis Team di Kaspersky Lab: «Inizialmente il virus era stato associato a Petya, che era già noto e si era già presentato in passato. Si è poi successivamente capito che era una tutt’altra minaccia soprattutto per le caratteristiche con cui cifrava l’MBR, ovvero il disco, sovrascrivendo la procedura di avvio. Per questo è stato chiamato NotPetya, proprio perché si è trattato di qualcosa di completamente diverso, sia dal punto di vista delle caratteristiche che del codice. Come detto c’erano infatti delle similitudini nel modo di sovrascrivere, ma tutte le altre funzioni erano differenti, dalla capacità di propagazione, alla cifratura dei file».
Quel che è certo è che lo scorso 27 giugno, quando la minaccia di NotPetya ha iniziato a prendere consistenza, i centri di analisi di Kaspersky Lab in giro per il mondo hanno iniziato a essere inondati di segnalazioni provenienti da diverse aree, che evidenziavano una compromissione a macchia d’olio di numerose macchine. Subito, ovviamente, è scattata una opportuna reazione: «Abbiamo identificato dei campioni, cercando così di capire il funzionamento di questa minaccia e, soprattutto, provare a bloccarla. Durante queste analisi abbiamo notato tutte quelle caratteristiche di autopropagazione a cui abbiamo accennato in precedenza, in grado di inviare comandi da remoto, la presenza di sistemi per la raccolta delle credenziali della macchina, ma anche l’utilizzo di exploit, tra cui EternalRomance e EternalBlue, utilizzati in Wannacry e – molto probabilmente – sottratto alla Nsa».
Indice degli argomenti
Le differenze con Wannacry
Proprio l’estrema vicinanza temporale con Wannacry ha spinto molti commentatori a tracciare dei parallelismi, ma secondo l’esperto di Kaspersky Lab anche in questo caso ci sono profonde differenze con NotPetya. «Wannacry era un ransomware che si propagava su tutta Internet, utilizzando EternalBlue per scansionare le reti pubbliche e così compromettere le varie macchine. NotPetya si concentra invece sulla rete locale: infetta la macchina, vede se ha permessi di amministrazione, se non li possiede cifra i file con determinate estensioni, mentre in caso contrario effettua anche la sovrascrittura del Mbr. A questo punto inizia a provare la propagazione, sfruttando anche altri parti di codice che cercano di rubare credenziali sulla macchina per provare ad accedere a ulteriori sistemi. Oppure tenta di utilizzare gli exploit nella rete locale. Successivamente la macchina colpita viene riavviata e si innesca quel pezzo di codice che serve a cifrare la macchina e a far comparire il messaggio del riscatto». C’è insomma un’importante lavoro di propagazione prima della cifratura vera e propria. Non solo: a differenza di Wannacry, che si sarebbe potuto bloccare semplicemente aggiornando la propria macchina e bloccando così gli exploit malevoli, in questo caso le ulteriori propagazioni che abbiamo descritto avrebbero comunque favorito il proliferare di NotPetya. Sarebbero dunque servite soluzioni di sicurezza in grado di identificare il malware in maniera euristica, con un processo strutturato. Tutto questo rende NotPetya molto più complesso di Wannacry, che mirava a propagarsi in maniera più massiccia e rapida, andando sulle reti pubbliche.
Ransomware o Wiper?
Oltretutto ci sono evidenze che, in questo caso, gli attaccanti non fossero interessate a cifrare i file quanto piuttosto ad arrecare un danno ai target colpito. Lo si può desumere dalla stessa schermata del messaggio: di solito negli attacchi ransomware veri e propri c’è un codice che contiene delle informazioni utili per identificare la macchina colpita, mentre con NotPeya questo codice veniva generato in maniera del tutto randomica e, sostanzialmente, non poteva essere utilizzato. Tanto che, addirittura, tra gli addetti ai lavori si dibatte se NotPetya possa essere definito o meno come un ransomware. Per Dedola, proprio perché rende molto difficile recuperare i file, potrebbe essere visto come un wiper, ossia dei malware che sono stati utilizzati in vere e proprie azioni di sabotaggio. Non a caso la quantità di denaro raccolta è stata contenuta, a conferma che non c’era intenzione di raccogliere soldi quanto piuttosto di danneggiare i bersagli. Che sono stati diversi: secondo Kaspersky Lab la propagazione è avvenuta inizialmente attraverso un software di gestione finanziaria, Medoc, o meglio tramite il server che distribuiva gli aggiornamenti di questo programma. L’attacco ha colpito principalmente Ucraina e Russia, tanto che insieme questi due Stati hanno totalizzato il 90% infezioni. A sorpresa, però, le altre nazioni più interessate sono state Polonia e Italia. Il motivo? Al momento è difficile da dire, è possibile che abbia giocato un ruolo la presenza di società con connessioni dirette con i Paesi più colpiti.
La recrudescenza dei ransomware
Ovviamente l’altra grande domanda è chi possa esserci dietro NotPetya: la risposta di KasperskyLab è che alcune evidenze portino verso Black energy, un gruppo che già in passato aveva effettuato degli attacchi mirati contro diversi target in Ucraina. L’attacco comunque non fa altro che dimostrare la pericolosità degli hacker e, in particolare delle minacce ransomware, pur nelle sue diverse varianti: «In Italia il ransomware è una delle minacce principali. Abbiamo una percentuale di detection di questo tipo di malware superiore ad altri Paesi. Il trend, che era già elevato nel 2016, è confermato dai dati del primo trimestre del 2017, che ci dicono che siamo i più colpiti dalle minacce ransomware. Il consiglio che diamo come Kaspersky è sempre quello di non pagare, perché così si incoraggia i cybercriminali a effettuare una campagna successiva. Non c’è poi la certezza di recuperare i file ed esiste sempre possibilità di ritrovarsi in un futuro nella stessa situazione», conclude Dedola.
