Come attacca e si diffonde? Che sistemi può colpire? Che differenze ci sono con Wannacry? Che fare? Ecco quello che sappiamo finora

DI COSA STIAMO PARLANDO?

Di una infezione globale di un ransowmare, un virus che cifra i file e chiede un riscatto in bitcoin, la nota moneta elettronica, per fornire la chiave di decifrazione. Di ransomware ce ne sono centinaia da anni, ma questo ieri in poche ore ha mandato in tilt oltre duemila organizzazioni, aziende, utility in vari Paesi, a partire dall’Ucraina, per arrivare a Francia, Spagna, Gran Bretagna, Stati Uniti. Come vedremo, si è trattata di una dinamica simile a quella di Wannacry, il software malevolo che a maggio aveva colpito migliaia di organizzazioni in 150 Paesi, inclusi vari ospedali britannici.

MA COME SI CHIAMA? PETYA, NOTPETYA, GOLDENEYE…

Ad aumentare la confusione di ore già concitate, ieri diversi ricercatori di sicurezza, mano a mano che procedevano con l’analisi del software malevolo, gli hanno dato nomi diversi a seconda di alcune caratteristiche. In particolare subito è stato battezzato GoldenEye dalla società BitDefender perché considerato una variante di un ransomware con questo nome; altri lo hanno invece identificato come un ceppo di Petya, un ransomware che era in circolazione dal 2016 ed era venduto o affittato nell’underground anche in soluzioni di “software come servizio”; successivamente altri ricercatori a partire dalla società Kaspersky lo hanno considerato invece un malware (software malevolo) nuovo, anche se imitava in parte Petya. E allora lo hanno chiamato, con poca fantasia, NotPetya. In questo momento quest’ultimo sembra il nome e l’interpretazione su cui si sono assestati molti ricercatori di sicurezza.

LEGGI ANCHE: I PIRATI DEL SOFTWARE ALZANO IL TIRO, DOPO WANNACRY ARRIVERANNO ALTRI RANSOMWARE di Francesco Semprini

OK. E IN COSA NOTPETYA È SIMILE A WANNACRY?

In modo simile a Wannacry, NotPetya si diffonde in modo rapido, colpendo soprattutto aziende e organizzazioni, attraverso una vulnerabilità usata dal codice di attacco (exploit) EternalBlue, sviluppato dalla Nsa ma poi diffuso online la scorsa estate dal gruppo noto come Shadow Brokers, che dice di aver rubato una serie di attacchi informatici dell’agenzia di sicurezza nazionale americana. Questo attacco permette di diffondere il ransomware attraverso le reti interne di un’organizzazione grazie a una vulnerabilità di un protocollo di condivisione di file di rete, SMB (Server Message Block), usato da sistemi Microsoft Windows. Vulnerabilità che era stata corretta, “patchata” da Microsoft lo scorso marzo, già prima dell’esplosione di Wannacry. Ma non tutti hanno aggiornato i propri sistemi.

E INVECE IN COSA È DIVERSA DA WANNACRY?

Oltre a usare Eternalblue, NotPetya adotta altri sistemi di diffusione e vulnerabilità. Usa un altro exploit diffuso online dagli Shadow Brokers, che si chiama EternalRomance, e per cui esiste comunque una patch, una pezza che chiude la vulnerabilità (la stessa di Eternalblue, MS17-010).

E poi, e questa è la parte forse più interessante, oltre a cifrare tutti i dati, scarica le credenziali dalla memoria del computer e inizia a diffondersi sulle macchine vicine usando due strumenti di amministrazione di Windows, WMIC e PSEXEC. È quello che si chiama movimento laterale, cioè si diffonde ad altre macchine nella stessa rete.

Infine, mentre scriviamo, non è stato individuato un vero e proprio interruttore del meccanismo di propagazione del malware, come era avvenuto con Wannacry. Sono stati trovati dei sistemi per limitarlo ma meno efficaci.

QUINDI PUÒ DIFFONDERSI ANCHE SU MACCHINE CHE HANNO CHIUSO LE DUE VULNERABILITÀ WINDOWS CITATE SOPRA?

Sì. Se in una rete c’è una macchina vulnerabile e viene infettata, il ransomware riesce a diffondersi anche in questa maniera laterale su macchine non vulnerabili. Per questo molti ricercatori lo considerano più insidioso di Wannacry, anche se ha fatto meno il botto.

MA COME SI È DIFFUSO E A PARTIRE DA DOVE?

Una fonte di diffusione potrebbe essere stato il sistema di update automatico di un software finanziario sviluppato da una società ucraina, MeDoc. In pratica, secondo vari ricercatori, il sistema sarebbe stato compromesso e avrebbe diffuso l’infezione ai propri clienti con gli aggiornamenti, in quello che si chiama attacco attraverso la catena di approvvigionamento (supply-chain attack). L’azienda ha smentito di essere stata veicolo dell’infezione. Tuttavia a sostenerlo sono stati esperti di sicurezza e società come MalwareTech, AlienVault, Cisco e la stessa polizia ucraina. E questo potrebbe spiegare l’entità della diffusione delle infezioni proprio in Ucraina. Qualcuno ha ventilato l’ipotesi, ma non è affatto confermata, che si diffonda via email attraverso una vulnerabilità di allegati Word.

LA STRANEZZA DEL SISTEMA DI PAGAMENTO

Nel complesso NotPetya sembra dunque essere un malware migliorato rispetto a Wannacry, che per alcuni aspetti sembrava concepito comunque in modo dilettantesco (o volutamente incongruente, se si sposa la tesi che sia stato fatto solo per fare danni). Tuttavia anche NotPetya ha messo in piedi un sistema di pagamento che sembrerebbe fallimentare. La raccolta dei riscatti via bitcoin si basa infatti su un sistema di validazione manuale, in cui le vittime devono inviare via mail prova del pagamento effettuato per poi ricevere la chiave di decifrazione. Ma l’indirizzo email usato dagli attaccanti è stato disattivato dal provider Posteo. Quindi le vittime possono pagare ma non hanno più modo, per ora, di confermare agli attaccanti il pagamento. Ad ora il portafoglio che raccoglie i riscatti ha incassato circa 8mila dollari.

QUANTO HA COLPITO IN ITALIA?

In base a quanto risulta a La Stampa, fino a questa mattina al Cert-Pa, l’unità di risposta alle emergenze informatiche della pubblica amministrazione, non erano stati rilevati episodi particolarmente rilevanti nel nostro Paese.

CHI È STATO?

Domanda da un milione di bitcoin, per ora. Però ci sono alcune analisi che vanno riportate. Secondo alcuni esperti di sicurezza anche NotPetya presenta delle stranezze. Sebbene il malware si camuffi da Petya - scrive The Grugq, nome noto del settore - ha una filiera di pagamento estremamente mal fatta. (..) Petya era una impresa criminale progettata per fare soldi. Questo è progettato per diffondersi velocemente e fare danni, con la giustificazione della copertura del ransomware”. Idea condivisa anche da altri. Su Wannacry, nelle ultime settimane era stata avanzata, da molteplici parti, una pista che collegava il malware al gruppo Lazarus, che il governo americano considera nordcoreano. Su NotPetya ancora non sono state fatte ipotesi consistenti.

CHE FARE TECNICAMENTE?

Patchare i sistemi e in particolare gli exploit SMB; disattivare SMBv1; bloccare accesso alle porte 137, 138, 139, 445. “Se potete disabilitate (tramite group policy) le share Admin$ su tutta la rete”, ha scritto il professore di sicurezza informatica del PoliMi, Stefano Zanero. Che aggiunge: “Se quando riavviate vedete un messaggio di chkdsk (del controllo del disco di Windows), è il malware che vi sta cifrando il disco. Non lasciatelo fare: spegnete e potreste riuscire a recuperare ciò che non è stato ancora cifrato con un disco di boot”.

E fate i backup.