Informatica Giuridica

Petya/NotPetya come WannaCry?

Il recentissimo attacco tramite il ransomware Petya/NotPetya (o secondo alcuni una sua variante chiamata Nyetya), che ha interessato molteplici società nel mondo (ed in particolare Ucraina, Italia, Russia e Stati Uniti), torna a far discutere sulle necessarie e sempre più indispensabili misure di sicurezza informatica nelle aziende.
Il primo attacco verificatosi in Ucraina sembrerebbe aver avuto origine dal sistema di aggiornamento di MEDoc, un software di gestione della contabilità largamente utilizzato nelle aziende ucraine, ma anche nelle istituzioni finanziarie, negli aeroporti e nelle metropolitane.
Come WannaCry (per ogni approfondimento si rinvia al precedente articolo), per la propria diffusione Petya/NotPetya utilizza non solo SMB exploit (come ad esempio la già nota vulnerabilità EternalBlue o EternalRomance), ma anche l’esecuzione da remoto attraverso la rete condivisa, utilizzando strumenti di Windows come PsExec o WMIC (Windows Management Instrumentation Command-line).
Petya/NotPetya cerca, infatti, di infettare i computer copiando e diffondendo se stesso all’interno dell’infrastruttura di rete, per mezzo di credenziali amministrative illegittimamente acquisite; è, infatti, sufficiente che un client in possesso di credenziali amministrative venga infettato per diffondere l’infezione anche in altri pc tendenzialmente protetti, ad esempio, dall’exploit EternalBlue.
Una volta installato, Petya/NotPetya inizia a modificare il c.d. “master boot record”, ossia quel settore dell’hard disk di un pc, altrimenti noto come “settore di avvio principale”, che contiene la sequenza di comandi/istruzioni necessarie all’avvio (boot) del sistema operativo.
La modifica al settore di avvio principale ha come scopo quello di crittografare l’hard disk simulando una schermata di Checkdisk, ossia un comando che nei sistemi DOS e Microsoft Windows permette di eseguire il controllo di errore nel file system di un hard disk.
Solo allora Petya/NotPetya si rivela all’utente nella sua forma più conosciuta, facendo apparire una richiesta di riscatto, anche in questo caso, di circa 300 $ in Bitcoin e le istruzioni su come procedere per ottenere il controllo del proprio pc, inviando una e-mail all’indirizzo indicato (il quale non registra l’indirizzo IP dei visitatori, cifrandone la connessione e permettendo agli stessi di non essere rintracciabili).
Pertanto, diversamente da WannaCry, Petya/NotPetya non crittografa i singoli dati, rendendoli illeggibili, bensì rende impossibile l’utilizzo del pc, non consentendo neppure di intervenire nel residuo lasso di tempo che separa il momento di accensione del pc da quello di avvio del sistema operativo, ormai già compromesso.
Sul punto si segnala che gli esperti raccomandano di non pagare il riscatto.
Parrebbe, infatti, che a seguito della chiusura da parte delle autorità dell’indirizzo e-mail indicato dai cyber criminali, non vi sia alcun canale a disposizione per la vittima al fine di entrare in comunicazione con chi ha sferrato l’attacco. In altre parole sussistono forti dubbi sulla possibilità sia di verificare il buon esito del pagamento, sia di ricevere effettivamente la chiave di decrittazione una volta avvenuto il pagamento del riscatto (essendo chi sferra l’attacco non più in grado di identificare il soggetto pagante).
Naturalmente esistono diverse strade per mitigare e prevenire l’impatto di Petya/Nyetya e di questi attacchi ransomware:
– in primo luogo è fortemente raccomandato che gli utenti che non abbiano ancora installato l’aggiornamento MS17-010 di Microsoft vi provvedano immediatamente. Tale aggiornamento consente, infatti, di eliminare le vulnerabilità tramite le quali i ransomware riescono a diffondersi;
– installare un anti-malware nel proprio pc al fine di individuare e bloccare l’esecuzione di sconosciuti e pericolosi eseguibili;
– implementare un piano di “disaster recovery” che preveda operazioni di backup e restore dei dati da dispositivi che sono offline e quindi non a rischio infezione;
– mantenere i propri sistemi operativi costantemente aggiornati.
Si segnala, infine, che per il momento, sembrerebbe ancora non esistere un “vaccino” (c.d. kill switch) per debellare il malware (come è stato per WannaCry), tuttavia il ricercatore del Cybereason in Massachussets, Amit Serper, avrebbe trovato un rimedio, seppur temporaneo, per bloccarlo.
In sostanza Petya/NotPetya si aggancia ad un file locale per diffondersi all’interno del pc e, per rendere il pc non ancora infettato immune al suo attacco, sarebbe “sufficiente” creare un file di sola lettura di nome “perfc” nella cartella C:\Windows.
Si considera un rimedio solo temporaneo dal momento che in un attacco di scala globale come questo, che normalmente si sviluppa a più riprese, gli hackers possono facilmente modificare il nome del file, rendendo vano ogni tentativo di rendere inoffensivo il malware.

Avv. Elisabetta Parisi


Leave a Reply