Nel mondo ci si continua a domandare chi ci sia dietro al terribile virus che ha colpito tanti Paesi, si tratta infatti di un attacco definito da alcuni senza precedenti. È notizia di ieri che alcuni siano convinti che la maggior indiziata per il crimine sia la Russia, in effetti sin da subito l’Ucraina, la nazione maggiormente colpita, aveva puntato il dito contro la vicina. Ma lasciamo alle forze dell’ordine planetarie di indagare chi siano i colpevoli, ai governi di studiare quali possano essere i risvolti geopolitici di attacchi di questo tipo e cerchiamo, invece, di capire cosa sia successo e le caratteristiche distintive di questo fenomeno.
Il virus, più correttamente il ransomware (ossia in generale quella tipologia di malware che cifra i dati con finalità di estorsione), è stato battezzato Petya ed è in grado di bloccare i sistemi rendendone quindi inaccessibili i file se non a fronte di un riscatto in Bitcoin.
I danni compiuti, da quello riportato da tutti i media due giorni fa presso la centrale di Chernobyl in poi, sono andati estendendosi velocemente anche nella giornata di ieri, per esempio in India dove è stato colpito uno dei terminal del Jawaharlal Nehru Port (Jnpt), il più grande in India per quanto riguarda il traffico di container.
Anche l’Italia è stata raggiunta dall’”infezione”, secondo alcuni produttori di soluzioni di sicurezza informatica (che hanno laboratori adibiti proprio al controllo di attacchi e alla condivisione dei dati relativi perché, messi a fattor comune, favoriscano lo studio di tecniche di reazione) sarebbe addirittura il secondo Paese maggiormente colpito al mondo (ma non vi sono al momento dati oggettivi a comprovare questa tesi).
Tutte le caratteristiche di Petya e perché è diverso dagli altri
“Non siamo di fronte a un malware rivoluzionario – ci ha tenuto a spiegare Luca Bechelli, comitato direttivo e comitato tecnico-scientifico di Clusit – quanto all’ennesima conferma che è in atto un trend di continua sofisticazione delle tecniche di attacco che consentono agli hacker, pur introducendo piccole e relativamente semplici innovazioni, di essere sempre più efficaci nella diffusione e quindi nei risultati delle proprie azioni”.
Petya è stato particolarmente virulento prima di tutto perché ha usato più vettori di attacco: quello tradizionale, ossia la mail con allegato infetto, ma anche un software di contabilità particolarmente diffuso in Ucraina (ed è per questo che si è guardato in primo luogo alla Russia, per quanto anch’essa sia stata colpita, come ipotetico responsabile).
Il parallelo, più volte compiuto, con WannaCry nasce invece dal fatto che Petya utilizza le stesse vulnerabilità di Windows, scoperte ormai nel “lontano” marzo, che consentono una grandissima capacità di autoreplica.
“Quello che stupisce di questo ennesimo attacco – ha sottolineato Bechelli – è che le organizzazioni hanno avuto diversi mesi per poter fare gli aggiornamenti, erano state avvisate. D’altra parte, dobbiamo ricordare che ci sono tante aziende (si pensi soprattutto agli impianti industriali più avanzati) che lavorano con applicazioni e software specifici per cui qualsiasi aggiornamento deve essere valutato, certificato, ossia deve essere soggetto a processi molto lunghi di approvazione che possono anche dare esito negativo, proprio per garantire il corretto funzionamento degli impianti stessi”.
Sul fronte opposto, invece, guardando agli attaccanti, quello che sorprende (e rimanda all’idea più o meno fantasiosa di un complotto, più che di un attacco teso a raccogliere denaro, o che ha fatto pensare a un’azione preparatoria per altri attacchi ecc.) è la facilità con cui è stato reso inutilizzabile il canale di comunicazione con gli hacker: la casella mail alla quale comunicare l’avvenuto pagamento del riscatto (tra l’altro di modesta entità, pari a 300 dollari in bitcoin) è stata chiusa dallo stesso provider, rendendo di fatto inutile pagare.
“Si consiglia sempre di non pagare il riscatto – ha spiegato Bechelli – spesso è inutile perché i file invece di essere cifrati in realtà vengono danneggiati, oppure perché comunque poi non viene fornita la chiave di cifratura eccetera, ma in questo caso è proprio inefficace perché non si ha modo di entrare in contatto con gli attaccanti e quindi è impossibile avviare la proceduta di sblocco. Si tratta di un comportamento abbastanza strano da parte degli hacker: potevano evitare che fosse possibile tale interruzione di contatti in quanto in altri casi si sono utilizzati servizi Internet appositi per esempio che forniscono pagine Web, ove sia possibile inserire i propri riferimenti e i dati relativi al pagamento, che vengono aggiornate periodicamente e quindi sempre facilmente reperibili”.