L’infezione che due giorni fa ha colpito migliaia di aziende e organizzazioni in decine di paesi ha riservato nelle ultime ore significative sorprese. Ricordiamo che il virus, identificato con vari nomi – Petya, Petna, PetrWrap, NotPetya – ha iniziato a diffondersi in Ucraina, dove ha fatto i danni maggiori, lo scorso 27 giugno.
Fonte: McAfee
Considerato inizialmente un ransomware perché ne presentava le sue caratteristiche più evidenti – cifratura dei dati e richiesta di riscatto – nelle ultime ore si è dimostrato essere un virus volutamente confezionato per apparire un ransomware, senza però esserlo appieno nel suo funzionamento.
La decifrazione è impossibile
L’analisi tecnica in particolare evidenzia che, nonostante la richiesta di un riscatto, la modalità con cui il worm è stato sviluppato non permette la decifrazione dei dati. Tralasciando il fatto che poche ore dopo la propagazione del worm l’indirizzo email era stato disattivato, la chiave di installazione personale generata sul computer della vittima – e indispensabile per poter estrarre la chiave di decifrazione da parte dell’attaccante – risultava inservibile.
La stringa visualizzata nel messaggio ad infezione avvenuta è una sequenza casuale e inoltre i file cifrati risultano perduti per sempre poiché il Master Boot Record del disco viene sovrascritto in maniera permanente. Pagare il riscatto non serve a nulla.
Errore casuale dovuto alla fretta, o precisa scelta dei cybercriminali?
Se l’obiettivo di un ransomware è quello di ottenere un guadagno attraverso la richiesta di un riscatto, l’obiettivo non era in questo caso raggiungibile. Le risultanze dell’analisi tecnica fanno ritenere che la decifrazione non fosse una priorità, come invece la capacità di propagazione del worm, aspetto invece accuratamente studiato. Queste considerazioni hanno portato gli analisti a classificarlo come un wiper piuttosto che come ransomware, con un chiaro intento distruttivo.
Attacco laterale
Come si è visto fin da subito, per diffondersi via rete questo virus ha utilizzato l’exploit EternaBlue, un codice di attacco rubato alla Nsa. A seguito di analisi tecnica è emerso tuttavia che il ruolo di questo e di un altro exploit dell’NSA è quasi marginale, di fronte a sistemi di infezione più classici e facilmente circoscrivibili (mantenendo il sistema operativo aggiornato, configurando il controllo degli accessi in modo corretto e seguendo le best practice). In particolare, questo malware ha dimostrato la capacità di usare metodi di amministrazione di Windows per muoversi da un computer all’altro – il cosiddetto movimento laterale -dopo aver estratto le necessarie credenziali. Mentre l’exploit Eternalblue sfrutta una falla in Windows che si può chiudere con gli aggiornamenti, questa tecnica risulta essere più subdola poiché per essa non esiste una patch immediata e semplice.
Canale di distribuzione dell’attacco
Il vettore dell’attacco iniziale si è rivelato essere una distribuzione infetta di MEDoc, un software di contabilità usato in modo particolare in Ucraina, sfruttato dagli attaccanti per arrivare alle reti aziendali dei suoi clienti attraverso il sistema di aggiornamento. Per raggiungere lo scopo sembra inoltre si sia utilizzato un sito web locale della città ucraina di Bakhmut, che infettava i suoi visitatori mostrando un finto aggiornamento Windows da scaricare. Tutto fa pensare dunque che l’Ucraina sia stata la vittima designata. La presenza degli exploit di Vault7 ha tuttavia permesso al malware di infettare sistemi anche in USA, Europa e Asia. Vittime italiane note un’azienda padovana e un magazzino TNT.
Microsoft nel frattempo ha rilasciato un aggiornamento per Windows 10.
Articolo del 27/06/17
A poco meno di due mesi da WannaCry, un nuovo attacco globale ha colpito pesantemente aziende e infrastrutture critiche in Ucraina, Russia ed Europa e si sta diffondendo rapidamente. Il numero dei paesi coinvolti è destinato a crescere nelle prossime ore e abbiamo ragione di ritenere che siano coinvolte anche aziende italiane.
L’Ucraina è il paese più colpito, con interruzione di servizi come elettricità e trasporti. Colpita anche la centrale nucleare di Chernobyl, limitatamente agli apparati che ne controllano la radioattività, mentre non risultano compromessi i sistemi di contenimento delle radiazioni.
Tra le vittime del ransomware inoltre il colosso del trasporto marittimo danese Maersk, il gigante della pubblicità britannico Wpp e la società francese Saint-Gobain. Negli Stati Uniti la farmaceutica Merck è stata la prima compagnia Usa ad aver confermato di essere stata attaccata.
Responsabile del cyberattacco è PetrWrap, una variante del ransomware (codice malevolo che rende inaccessibili i file e chiede un riscatto per essere eliminato) Petya già nota agli esperti, in grado di bloccare l’intero sistema operativo Windows criptando la tabella MFT del filesystem NTFS.
Tale variante sfrutta l’exploit EternalBlue, il codice rubato alla NSA, per propagarsi all’interno della rete locale. Nonostante la vulnerabilità fosse stata patchata a marzo di quest’anno per tutte le versioni dei sistemi operativi Windows, molti utenti sono stati comunque colpiti.
L’infezione infatti, che si propaga con email di phishing, riesce a diffondersi se in una rete c’è anche una sola macchina infettata, colpendo in modo laterale macchine non vulnerabili. Per diffondersi all’interno della rete il malware utilizza:
- la vulnerabilità MS17-10 (come WannaCry)
- l’accesso remoto a WMI (Windows Management Instrumentation)
- il toolkit «PSEXEC» o qualche strumento simile
RACCOMANDAZIONI
È inoltre consigliato bloccare l’esecuzione del software «psexec.exe» su macchine potenzialmente compromesse e bloccare l’accesso remoto a WMI.