Dopo Wannacry l’allarme ransoware accende in queste ore le luci su Petya. Gli esperti di sicurezza informatica, però, avvertono che bisogna rimboccarsi le maniche e lavorare ancora più in fretta su Nyetya, variante del virus rilevata da Talos (il dipartimento di Intelligence sulle minacce informatiche e laboratorio di ricerca sulla sicurezza informatica di Cisco).
Stare al passo con le caratteristiche e i rischi del cybercrime sta diventano un fatto di cronaca giornaliera e chiedersi che cosa vuol dire e come funziona l’una o l’altra variante del virus sta diventando relativo.
Gli osservatori parlano a questo proposito di sicurezza agile, sottolineando come la governance debba essere capace di andare ben oltre i modelli ormai stereotipati, legati alla reattività e alla predittività.
La capacità di addattarsi al cambiamento, infatti, richiede massima informazione e massima azione, avendo ben chiare le attività da intraprendere nell’ordine giusto e coinvolgendo le persone giuste al momento opportuno. Come proteggere le risorse e migliorare l’intelligence? Sicuramente iniziando a fare outing e a dire in fretta cosa sta succedendo in modo da aiutare tutti a prendere le contromisure più adatte.
Come agisce Petya e quali sono le contromisure
Di Wannacry abbiamo già scritto ampiamente mentre di Petya va detto che l’attacco è partito sfruttando l’exploit EternalBlue (realizzato e poi sottratto dalla National Security Agency) e l’exploit Eternal Romance. Durante l’attacco, avvenuto nel tardo pomeriggio di ieri sono stati colpiti olltre 12mila computer. Per attivare il malware è stato usato anche lo strumento di hacking Mimikatz, per l’estrazione di password da altri computer presenti sulla rete del sistema infetto, così da poter utilizzare le credenziali per utilizzare PSExec, un tool della strumentazione di Windows Management. L’ipotesi degli analisti è che gli hacker siano partiti da un sistema di aggiornamento automatico di un software ucraino, conosciuto con il nome di MeDoc, infettato in modo tale da prendere il controllo del sistema che invia gli aggiornamenti agli utenti finali. Una volta che il sistema viene infettato, dopo un delta compreso tra 10 e i 60 minuti, si attiva il reboot.
Per prevenire la compromissione del sistema potrebbe essere sufficiente spegnerlo prima che venga effettuato il reboot, dicono gli esperti. Sempre che si sappia di essere sotto attacco, ovviamente. Sotto il grafico della viralizzazione del malware.
Secondo Kaspersky, le vulnerabilità su cui fanno leva EternalBlue ed EternalRomance sono state risolte con una patch rilasciata da Microsoft già nel corso del mese di marzo, poco prima che il collettivo ShadowBrokers rilasciasse al pubblico gli strumenti di hacking sottratti all’NSA.
Come agisce Nyetya e contromisure
Nyetya, invece, è la variante dell’ultimo minuto di Petya e sta colpendo tutto il mondo ma, in particolare, l’Europa. L’analisi iniziale indica che l’attacco è partito in Ucraina, indirizzato a varie aziende e agenzie governative e, a macchia di leopardo, è arrivato in Francia, Danimarca, Spagna, Regno Unito, Russia e Stati Uniti.
Cisco Talos sta indagando attivamente sull’attacco e sta aggiornando regolarmente il blog post (qui il link). I ricercatori ritengono che il primo attacco verificatosi in Ucraina abbia avuto origine da sistemi di aggiornamento software di un pacchetto contabile fiscale ucraino chiamato MeDoc. Questo sembra essere stato confermato da MeDoc stesso.
La dinamica del malware merita la massima attenzione: una volta entrato nel sistema, infatti, Nyetya utilizza tre modi per diffondersi automaticamente in una rete, uno dei quali è la nota vulnerabilità Eternal Blue, simile a quanto è avvenuto con l’attacco WannaCry del mese scorso. Come funziona? Il ransomware crittografa il master boot record (MBR) di un sistema, ovvero la sequenza di comandi/istruzioni necessarie all’avvio (boot) del sistema operativo.
Perché è necessario imparare a leggere tra le righe del codice
L’allarmismo che è scaturito dal diffondersi dalle evoluzione dei ransomware non deve distogliere l’attenzione delle aziende dalla motivazione che si nasconde dietro alle azioni del cybercrime. Solo così, infatti, per i security officer è più facile capire quali rischi possa correre l’organizzazione e quali strategie mettere in campo.
“Esistono numerosi indicatori che legittimano il sospetto che questo nuovo malware non sia stato veramente progettato per monetizzare – ha raccontato alla redazione di AskaNews Stefano Zanero, professore associato del DEIB, il dipartimento di computer engineering del Politecnico di Milano -. Innanzitutto, l’infrastruttura per ricevere i pagamenti (una mail sola e un indirizzo bitcoin) non è resistente ed infatti è stata disabilitata entro poche ore dal provider e-mail coinvolto. In secondo luogo il codice di Petya, in parte copiato in Nyetya era in grado di ripristinare, dopo il pagamento, il boot record del disco colpito, mentre il codice di questo malware lo distrugge irreparabilmente. Le meccaniche di propagazione sono principalmente orientate al movimento laterale, ovvero all’invasione della rete locale in cui il worm è entrato, piuttosto che alla propagazione verso sistemi terzi”.
In sintesi, l’intrepretazione dell’esperto è che il malware sia stato creato per paralizzare le aziende ucraine, danneggiando così in modo pesante una determinata nazione. Che si tratti di un primo esperimento chirurgico del cybercrime finalizzato poi a essere applicato a tutto lo scacchiere economico intenazionale?
“Nyetya potrebbe contenere al suo interno codice di programmazione con diverse finalità: inibire l’accesso ai dati, ma anche distruggerli o carpirli – ha sottolineato Gabriele Faggioli, adjunct professor del Mip del Politecnico di Milano e presidente del Clusit (Associazione Italiana per la Sicurezza Informatica) -. Il tema della sicurezza informatica e del rischio in questo caso include sia una possibile presa di possesso di informazioni di potenziale interesse per diversi soggetti così come un tentativo mirato a generare danni ingenti. Questo tipo di attacco, infatti, non è tanto legato ai ritorni che si riescono ad avere in termini economici e che sono molto bassi, dal momento che i sistemi di comunicazione vengono rapidamente bloccati, inibendo lo sforzo degli hacker. Se si esclude il guadagno, dunque, la domanda fondamentale è: quali sono le motivazioni che potrebbero spingere qualcuno a condurre un’offensiva di questo tipo? La risposta merita attenzione perché in un mondo come quello attuale, caratterizzato da molteplici conflitti non necessariamente armati, arrecare danni ai sistemi informativi avversari o carpire informazioni strategiche può avere un valore tattico o strategico decisamente elevato”.
In conclusione, la sicurezza informatica, ancora una volta, si conferma l’ultima frontiera della ricerca e dello sviluppo. I virus mutano con una velocità che richiede consapevolezza e massima cooperazione tra tutti gli esperti sul campo: provider, unità speciali di analisi e di sviluppo ma anche aziende che devono imparare ad avere l’intelligenza e il coraggio di segnalare agli operatori gli attacchi subiti in maniera tempestiva, per poter condividere la conoscenza e aiutare le comunità internazionali a far scattare i sistemi di reazione e di protezione opportuni.