Sono passate poche settimane dall’infezione di Wannacry e un nuovo attacco informatico mette sotto scacco i computer a livello mondiale. Cosa sia esattamente è ancora oggetto di discussione tra gli esperti, visto che quella che all’inizio sembrava una variante del virus Petya, in realtà sta assumendo i contorni di una minaccia a sé stante, ribattezzata perciò NotPetya o Nyetya. Prende di mira i computer con sistema operativo Windows, arriva via mail e si comporta come un ransomware. Con il malware originario ha in comune solo il codice per infettare il master boot record, ossia il codice di avviamento del computer. È un aspetto fondamentale dell’architettura del virus e del suo modus operandi, ma salvo questo aspetto, NotPetya e Petya non hanno nient’altro in comune. Così come non ci sono legami con l’Nsa e con la diffusione di dati sensibili da parte di The Shadow Brothers, né con Wikileaks. Nomi grossi che in questa tempesta hanno alimentato il vento di bufera, ma sono solo parole.
Il virus adopera anche due strumenti di amministrazione di Windows per diffondersi. Il primo è Wmic, che permette di raccogliere informazioni sul computer, sui software e sull’hardware dai prompt di comando. Pare che il virus verifichi prima la presenza del file C:\Windows\perfc, ma il fatto che ci sia non impedisce l’infezione.
Il secondo è Psexec, che permette di aprire in remoto i programmi. Di fatto il malware usa l’exploit per entrare in un host della rete, dopodiché sfrutta i privilegi degli utenti per verificare in quale altro computer possa entrare per propagarsi, provando il cosiddetto “movimento laterale”. Per questo tutte le macchine devono avere il giusto sistema di difesa installato: altrimenti ne basta una per aprire la porta al malware.
Non solo: si possono disinstallare le condivisioni amministrative. Chi fa valutazione della cybersicurezza in genere consiglia di eliminare questi strumenti, adoperati in molte aziende per dare agli amministratori di sistema un accesso rapido alle macchine dalla loro postazione, perché l’accesso privilegiato è uno scivolo per un attacco malevolo.
Dopo essere entrato nel sistema, cosa fa questo malware? Modifica le istruzioni di accensione e programma un riavvio dopo 10-60 minuti dall’infezione. A quel punto cripta il disco con tutti i dati al suo interno. Usa il sistema Aes, che è lo standard di crittografia del governo degli Stati Uniti, per blocchi di 128 bit ciascuno.
Se il malware riesce nel suo intento, per recuperare i dati si può fare affidamento solo su un backup. Anche perché NotPetya si è presentato come un ransomware, ma la chiave per ottenerli è stata distrutta e quindi pagare non serve più a nulla. Tra l’altro i pagamenti sono stati pochi e bassi, segno che l’obiettivo di chi ha sparso il virus non è lucrare sul furto di dati. Tuttavia non siamo di fronte a benefattori. Se quando si riaccende il computer compare un messaggio di checkdisk (ossia quei comandi per il controllo di errori nel sistema operativo), significa che il malware sta cifrando il disco. Il consiglio è di spegnere il computer, perché in questo modo si può interrompere la propagazione e tentare di recuperare i dati non ancora criptati.
L’infezione pare essere terminata e sembra che il virus abbia preferito attaccare le piccole reti locali aziendali. Da un lato, quindi, l’impatto è stato meno spaventoso della bufera Wannacry, ma questo attacco deve far riflettere le aziende sulla necessità di prevedere sistemi di difesa e contromisure in caso di contagio. Per questo all’inizio di giugno l’Advisory Board dedicato da Assolombarda alla cybersicurezza ha pubblicato in rete un veloce test per verificare la vulnerabilità informatica della propria impresa.
“Cyber Security Check”, aperto a tutte le imprese e costituito da un set di 14 domande, scelte in collaborazione con CINI – Cybersecurity National Lab, permette di ottenere un quadro sintetico ma completo sul cyber risk e focalizzare l’attenzione sugli aspetti strategici per mettere in sicurezza i propri sistemi. Dai processi produttivi alla formazione, dai prodotti e servizi che richiedono connessione internet all’aggiornamento dei software, l’imprenditore può prendere coscienza dei rischi a cui va incontro e raddrizzare la rotta. Nato da un’indagine che l’Associazione ha condotto tra le imprese associate, è uno strumento immediato per fare educazione sulla sicurezza informatica e dare un primo e veloce riscontro, prima di passare a programmi più strutturati di difesa.
Il caso NotPetya accende i riflettori sull’Ucraina, da dove si è propagata l’infezione, che ha sfruttato l’aggiornamento di un programma business nel Paese. Tuttavia le fonti di intelligence non sono concordi sull’origine e non si sono sopiti i sospetti su un gruppo di hacker russi. I ricercatori hanno evidenziato che nel codice erano contenute istruzioni per attaccare le vulnerabilità di Office, dal service pack 2 del 2007 a quello del 2010.
