Come funziona (Not)Petya, il nuovo ”malware globale”

La buona notizia: per diventare una vittima di Petya, o meglio una sua variante denominata da alcuni NotPetya, l’ultimo malware a propagarsi su scala globale, bisogna aprire una mail. La cattiva notizia: potreste essere nella posizione di dover aprire quella mail. Se può sembrar strano che nel 2017 ci siano ancora dei computer non aggiornati o persone che cascano nella trappola scaricando un allegato arrivato da qualcuno che non conoscono, bisogna pensare alle grandi reti aziendali dove spesso la versione del sistema operativo è vetusta e gli aggiornamenti sono lenti e centralizzati. E bisogna pensare anche agli uffici delle risorse umane che i curriculum, veri o falsi che siano, li devono aprire. O ancora ai dipartimenti che si occupano della contabilità, che sono costretti a capire di cosa tratta la bolletta che gli è stata appena recapitata.

“La questione, come per WannaCry, è puramente umana”, commenta Marco Ramilli a capo dell’azienda specializzata in sicurezza informatica Yoroi di Bologna. La sua azienda ha sviluppato una tecnologia che in tempo reale traccia gli attacchi e la loro provenienza e ha una serie di “sandbox” intelligenti per scovare i virus arrivati via mail. “La minaccia Petya è una minaccia vecchia, risale a sei sette mesi fa, e questa è una sua variante. E’ un ransomware come WannaCry, ma funziona in maniera diversa, è stato creato prima e da altre persone”.

Come funziona quindi?

“Si propaga attraverso le mail, che vanno aperte perché entri in funzione. Ma anche attraverso l’aggiornamento di un software per il mondo business chiamato MeDoc molto usato in Ucraina. E’ armato con Eternalblue sviluppato dalla Nsa, con una differenza rispetto a Wannacry. In quel caso Eternalblue sondava la rete in cerca di punti di accesso, in questo le barriere in entrata vengono superate dalla mail o via MeDoc. Poi, sempre grazie allo strumento dell’Nsa, si propaga in maniera orizzontale sulla rete interna che magari per motivi vari non è aggiornata”.

Una nuova combinazione di due “vecchie” minacce.

“Esatto. Ed è questa la cosa interessante: stiamo notando come gruppi hacker o cyber criminali che dir si voglia, prendono due o più soluzioni note per farne una nuova “killer application”, un software diverso capace di far breccia”.

Una volta bloccata la macchina, NotPetya cosa chiede?  

“Un riscatto di 0,138 bitcon, circa 300 dollari. Ad altri a chiesto 0,120…”

Chi c’è dietro?

“Ancora presto per dirlo. E’ di gran moda il metodo delle “false flag”, finte bandiere: i malware oggi sono in realtà degli impianti a più strati e ognuno proviene da un server differente che a volte sono in Paesi diversi con codici malevoli differenti che poi scaricati si combinano. Può accadere che il primo livello sia ucraino, il secondo coreano e il terzo inglese. Oggi l’attribuzione degli attacchi è il vero problema”.

Quanto ha raccolto fino ad ora NotPetya?

“Siamo riusciti ad estrarre un solo indirizzo di pagamento dove fino al tardo pomeriggio sono state compiute 18 transazioni per un totale di 1,8 bitcoin, meno di 4 mila euro. Con altri 10 o 12 pagamenti in coda. Ma la cifra è triplicata in poche ore. Poi è successa una cosa strana. Raccolti 8mila dollari l’indirizzo mail al quale scrivere è stato chiuso. Il numero di pagamenti è essenziale per capire la magnitudine dell’infezione. WannaCry non è arrivato a 100 mila dollari ad esempio. Forse in questo caso non puntavano ai soldi”.

Consigli ai naviganti?

“Se si può aggiornare sistemi e antivirus. Ma a volte, appunto, non è possibile. Certi macchinari medici usano ad esempio vecchi sistemi operativi perché il loro software funziona solo su quelle e se le si aggiorna per proprio conto si perde la copertura assicurativa e l’assistenza. Se, malauguratamente, in amministrazione qualcuno ha aperto una mail con Petya, c’è poco da fare. Ecco perché la cyber criminalità continua ad inviare mail. Sanno che a volte vengono aperte per forza e sono il cavallo di Troia per entrare in un ecosistema fragile protetto solo da una barriera all’entrata che proprio le mail possono attraversare”.

E le cosiddette sandbox, quei sistemi che isolano l’allegato e lo aprano in un computer simulato per controllare se sono infette prima di inoltrarle al destinatario?  

“Il vero punto debole è il fattore umano. Umano l’attaccante, umano l’obbiettivo. Puoi anche usare una sand box di ultima generazione. Ma così come evolve la difesa evolve l’attacco. Basta ad esempio che il virus si attivi dopo 15 minuti, le mail non possono esser trattenute per così tanto tempo in un mabiete isolato. Per questo sono nate le sand box che hanno simulato lo scorrere del tempo sul pc. Allora il virus hanno cominciato ad attivarsi solo dopo aver registrato certi movimenti del mouse o solo se la macchina non ha gli sfondi per impostati di Windows che raramente vengono adoperati. E via discorrendo”.

L’intelligenza artificiale, o meglio l’apprendimento delle macchine?

“La usiamo, ma non è ancora così evoluta da poter competere con l’ingegno umano”. (fonte)

You may also like...