Girano da un po’ su internet, ma fanno ancora paura. Era il 24 marzo del 2016 quando i laboratori di sicurezza di G-DATA lanciarono l’allarme Petya, un nuovo e pericoloso malware appartenente alla famiglia dei ransomware.
Un nome, questo del nuovo malware, che sicuramente non suonerà nuovo agli appassionati dei film dell’agente segreto James Bond: Petya, infatti, è usato nel film Goldeneye del 1995 per identificare uno dei due satelliti sovietici che trasportano una “Goldeneye”, una bomba atomica capace di esplodere ad una bassa orbita così da creare un impulso elettromagnetico capace di interferire con le comunicazioni e con tutti gli apparati elettronici.
Indice degli argomenti
Cos’è e come funziona Petya
Esattamente come altri suoi simili, Petya ha iniziato la sua campagna di infezione diffondendosi mediante posta elettronica e invitando le sue vittime a cliccare su un link malevolo o ad aprire l’allegato in formato ZIP per scaricare la copia vera e propria del malware. In particolare, .il ransomware prende di mira gli utenti aziendali: le e-mail di spam attraverso le quali si diffonde contengono infatti domande di assunzione con un link Dropbox o un allegato contenenti un finto curriculum vitae. In realtà, il file che la vittima scarica è un EXE che se eseguito da il via al processo di infezione della macchina.
Rispetto ad altri ransomware, però, Petya anziché cifrare i file archiviati negli hard disk delle sue vittime provvede a sostituire mediante il suo payload direttamente il Master Boot Record (MBR) nella tabella delle partizioni con uno opportunamente modificato, in modo da impedire l’accesso all’intero disco anziché ai singoli file e chiedendo poi un riscatto di 0,9 Bitcoin per liberare i tutti file.
Su alcune macchine il ransomware appena eseguito manda in crash il computer mostrando una schermata blu di errore, su altre invece provvede ad uno shutdown immediato. Il ransomware completa, così, quella che i ricercatori di sicurezza hanno definito la Fase 1 della sua procedura di infezione della macchina. Al riavvio successivo del computer, Petya avvia la Fase 2 simulando un check disk che gli serve per nascondere all’utente l’esecuzione del suo bootkit con il quale provvederà a modificare la tabella delle partizioni.
Tattiche difensive: ecco come prevenire e rimuovere Petya
Come dicevamo, il ransomware Petya infetta le macchine delle sue vittime modificando il Master Boot Record dell’hard disk. Questa operazione, però, richiede privilegi di amministratore per poter essere eseguita: limitando i privilegi utente Petya non sarà in grado di compromettere il disco rigido della vittima. Inoltre, nella Fase 1 analizzata precedentemente, è ancora possibile recuperare i file dal disco configurando il sistema in modo da evitare il reboot automatico della macchina, e impedendo di fatto al ransomware di avviare la Fase 2 dell’infezione.
Qualora ciò non fosse possibile, l’unico modo per recuperare i dati consiste nel ripristinare un backup preesistente. In alternativa, dato che i file sul disco non vengono cifrati, è anche possibile agire a basso livello sul disco per provare a recuperare quantomeno una parte dei file.
Il consiglio generale è comunque sempre quello di non aprire mai allegati sospetti delle e-mail che riceviamo nella nostra casella di posta elettronica. E poi non bisogna mai il riscatto per non arricchire le casse dei pirati informatici e alimentare così i loro sporchi affari. Qualora fossimo riusciti a bloccare l’infezione di Petya alla Fase 1, inoltre, potremmo utilizzare uno specifico tool di rimozione rilasciato dagli analisti di Malwarebytes.
Cos’è NotPetya e come funziona
Mentre l’ondata lunga dell’infezione di Petya sembrava perdere la sua forza, il mondo IT si è ritrovato di nuovo sotto attacco da un’altra pericolosa minaccia: nella primavera del 2017 il ransomware WannaCry ha infettato oltre 200mila computer in 74 nazioni, compresa l’Italia dove ha bloccato i computer di diversi atenei. Poi, dopo pochi giorni, è scoppiata un’altra epidemia che in poco tempo è diventata grande tanto quanto quella di WannaCry: il 27 giugno del 2017 NotPetya ha mostrato a tutti la sua incredibile potenza infettiva.
Il nome del nuovo ransomware lascia subito intuire che NotPetya non è una semplice variante di Petya. In realtà, per alcuni aspetti, sembrerebbe più una versione aggiornata di WannaCry. Secondo gli esperti di Kaspersky Lab, invece, è diverso da tutte le precedenti versioni di Petya e simile a WannaCry solo per il fatto di sfruttare ancora una volta l’exploit EternalBlue (sviluppato dall’agenzia di sicurezza americana NSA e trafugato dal gruppo di hacker noto col nome di The Shadow Brokers) modificato per la diffusione nelle reti aziendali.
Come prevenire un attacco NotPetya
Per limitare i danni del nuovo ransomware NotPetya, oltre al solito consiglio di non aprire allegati sospetti delle e-mail, occorre seguire le stesse indicazioni valide per WannaCry in merito alla disattivazione del protocollo di condivisione di file di rete, SMB (Server Message Block), usato dal sistema operativo Windows.
Come per WannaCry è importante inoltre aggiornare il sistema operativo installando l’aggiornamento MS17-010 rilasciato dalla stessa Microsoft. Al momento, inoltre, alcuni antivirus sono in grado di riconoscere il ransomware identificandolo con nomi simili a questi individuati dai laboratori di ricerca Kaspersky:
- Trojan-Ransom.Win32.ExPetr.a
- HEUR:Trojan-Ransom.Win32.ExPetr.gen
- UDS:DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
È importante, quindi, tenere sempre aggiornate anche le firme dell’antivirus ed eventualmente installare uno dei tanti tool antiransomware ormai disponibili sul mercato.
Petya o NotPetya: quale dei due è più pericoloso
Insomma, con tutti questi ransomware in circolazione non c’è di certo da stare tranquilli. Qual è il più pericoloso? Difficile dirlo, soprattutto tenendo conto del fatto che tutti mettono a rischio i dati archiviati negli hard disk con danni ovviamente incalcolabili soprattutto nelle realtà aziendali.
Di sicuro, il pericolo aumenta ad ogni nuova scoperta di un ransomware perché a quanto pare i pirati informatici hanno imparato la lezione di sfruttare gli exploit dei precedenti malware per mettere sempre più a repentaglio la sicurezza informatica aziendale.
In questo senso, il caso di NotPetya è emblematico: si potrebbe dire, ironicamente, che ha preso il meglio dai suoi predecessori per essere particolarmente infettivo. Inoltre, i suoi creatori sono riusciti a sfruttare altri due strumenti di amministrazione del sistema operativo Windows, WMIC e PSEXEC, per riuscire a portare a termine quello che gli esperti di sicurezza chiamano “movimento laterale”: in poche parole, il ransomware è capace di diffondersi anche ad altre macchine nella stessa rete locale anche se queste sono state correttamente patchate.
Come dire: al peggio (anzi, al Petya) non c’è mai fine.
