L’attacco, forse condotto con “Petrwap” una variante del virus Petya, già nota agli esperti, attacca le macchine Windows. Come già accaduto con Wannacry, anche in questo caso il ransomware utilizza l’exploit EternalBlue rubato alla NSA
Arturo Di Corinto per Cybersecurity del 27 giugno 2017
Compagnie elettriche, banche, metropolitane, aeroporti. Ancora una volta un ransomware dilaga velocemente attraverso le frontiere e attacca le infrastrutture critiche di decine di paesi, dalla Danimarca all’Ucraina alla Russia. Questa volta ad essere colpite sono soprattutto compagnie commerciali.
L’attacco globale è ancora in corso e questa volta la variante del virus che ne sarebbe responsabile appare anche più aggressiva di Wannacry.
La “nuova” minaccia si chiama Petya o forse no
Il malware blocca i computer, rendendone inaccessibile i file, e chiede in inglese un riscatto di 300 dollari in Bitcoin, una richiesta simile a quella del ransomware Wannacry che poche settimane fa aveva infettato 300.000 sistemi in oltre 150 Paesi.
Secondo le primissime informazioni si tratterebbe di una variante di un ransomware conosciuto come Petya rinominato “Petrwap”, anch’esso già noto agli esperti, ma i ricercatori di Kaspersky Lab non sono d’accordo e per questo l’hanno chiamato “NotPetya”. Tuttavia, come già accaduto con Wannacry, ad essere attaccati sono stati i sistemi Windows ma stavolta, secondo Symantec, il virus utilizza l’exploit Eternalblue rubato alla NSA dagli Shadow Brokers per diffondersi sui computer collegati alla stessa rete dei device infetti.
Le aziende sotto scacco e il ruolo della Russia
Maersk, azienda danese di trasporti, conferma l’attacco, la ditta di costruzioni francese St. Gobain pure, e l’industria alimentare spagnola Mondelez anche. Tuttavia la maggiore parte dei sistemi colpiti è in Ucraina. La metropolitana di Kiev non accetta pagamenti, l’elettricità è venuta a mancare in alcune zone del paese ex sovietico e, notizia molto preoccupante, sarebbe stata colpita anche la vecchia centrale di Chernobyl, o meglio gli apparati che ne controllano il grado di radioattività, mentre, secondo i responsabili, non ci sarebbero compromissioni di sistemi vitali per il contenimento delle radiazioni.
“Credo non ci sia nessun dubbio che dietro a questi ‘giochetti’ ci sia la Russia perché è la manifestazione di una guerra ibrida”. Questo ha affermato il consigliere del ministro dell’Interno ucraino Zoryan Shkiriak parlando dell’attacco che ha colpito anche l’Ucraina.
La portavoce dell’SBU – i servizi di sicurezza di Kiev – avrebbe detto che all’interno dell’agenzia si suppone che gli attacchi siano partiti dalla Russia o dai territori occupati del Donbass.
Atto di guerra o ricatto criminale?
Secondo alcuni analisti il ransomware Petya e la sua variante nota come PetrWap potrebbe non essere usato per scopi criminali, quanto piuttosto come una cyberarma per portare un attacco con finalità geopolitiche. Ma è ancora presto per dirlo. Qualche ipotesi in più potrà essere fatta sulla base dei sample del malware che gli esperti stanno acquisendo in queste ore.
Nel frattempo, secondo Payload Security, un sito web che fornisce gratuitamente l’analisi automatizzata dei malware che gli vengono sottoposti, pare che il nuovo virus sia particolarmente efficace perché in grado di bloccare la master file table (MTF) dei computer coinvolti piuttosto che di cifrarne tutti i dati, con tempi di esecuzione vistosamente ridotti. Una delle potenziali cause della sua rapida diffusione.
Il parere dell’esperto
Secondo Pierluigi Paganini, Chief Technology Officer presso CSE Cybsec Enterprise SpA: “Il primo aspetto che sorprende di quest’attacco è sicuramente la velocità di propagazione della minaccia, sopratutto dopo il caso WannaCry. Era lecito attendersi una maggiore resilienza a questa tipologia di attacchi proprio perchè appena 5 settimane fa i sistemi di mezzo mondo ne sono stati vittime. Invece eccoci qui contare il numero di infrastrutture critiche di molti paese sono seriamente minacciati dal nuovo ransomware.” E aggiunge: “Non è da sottovalutare la scelta del ransomware Petya, differente per genesi da altri ransomware perchè in luogo di cifrare uno ad uno i file rende non operativi i computer cifrandone la master file table (MFT) utilizzata dai sistemi operativi per l’accesso ai file sui dischi. Questa modalità di attacco rende questo ransomware più veloce rispetto ad altri, un fattore cruciale in un attacco che utilizza questa tipologia di malware.”