I ransomware Petya e NotPetya

Petya e NotPetya sono stati cyberattacchi avvenuti rispettivamente nel 2016 e nel 2017. Entrambi riguardavano ransomware, ma NotPetya era ancora più avanzato di Petya.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per gli affari

Cosa sono i ransomware Petya e NotPetya?

Petya e NotPetya hanno colpito i computer rispettivamente nel 2016 e nel 2017, quest'ultimo con danni per miliardi di dollari. La prima variante di Petya criptava i record di avvio master per rendere inaccessibili interi dischi rigidi, invece di criptare file specifici come i tipici ransomware. Un'altra variante di Petya era però più pericolosa, infettando i record di avvio e criptando i documenti.

Una versione significativamente modificata di Petya, soprannominata dai ricercatori NotPetya, era più distruttiva e prolifica delle vecchie versioni di Petya. A differenza di Petya, NotPetya potrebbe essere stata un'arma informatica. Ha colpito principalmente organizzazioni in Ucraina.

Che cos'è Petya?

Petya è un malware crittografico scoperto dai ricercatori nel 2016. Il suo nome è ispirato a un satellite sovietico fittizio del film di James Bond GoldenEye (1995). Mentre il tasso di penetrazione di Petya era nella media, la sua tecnica di crittografia era innovativa e insolita.

Cosa ha fatto Petya?

Il ransomware si è diffuso attraverso e-mail di phishing che contenevano un PDF funzionante come cavallo di Troia. Non appena qualcuno attivava Petya e gli concedeva l'accesso come amministratore, il ransomware si metteva al lavoro. Dopo aver riavviato il computer dell'obiettivo come un virus del settore di avvio, sovrascrive il Master Boot Record (MBR) per crittografare il disco rigido. I file su un computer infettato da Petya non venivano crittografati, corrotti o persi, ma erano inaccessibili. Petya chiedeva alle vittime Bitcoin per ripristinare l'accesso.

Qual è la differenza tra Petya e NotPetya?

NotPetya era una versione potenziata di Petya. Gli esperti di sicurezza informatica l'hanno chiamata "NotPetya" e il nome è rimasto. Sebbene sia Petya che NotPetya possano aiutare un criminale informatico a lanciare un attacco ransomware, esistono alcune differenze fondamentali.

1. Propagazione

Petya non si è diffuso così rapidamente come NotPetya per alcuni motivi. In primo luogo, ha cercato di ingannare gli utenti per indurli ad aprirlo, e molti utenti moderni sono in grado di riconoscere le tecniche di social engineering come gli attacchi di phishing. La variante originale di Petya richiedeva inoltre permessi di amministrazione che molti utenti esperti non condividevano. D'altro canto, NotPetya si è propagato più rapidamente attraverso backdoor, exploit come Eternal Blue e vulnerabilità di accesso remoto. Per ulteriori informazioni sulla famiglia di ransomware Petya, potete leggere EternalPetya.

2. La crittografia

Come già detto, la versione originale di Petya non cripta i file, ma solo il record di avvio per impedire alle vittime di caricare Windows. NotPetya, invece, cripta i file e danneggia persino alcune unità di archiviazione. Le due varianti si differenziano anche per la visualizzazione e i messaggi inviati agli obiettivi. È interessante notare che una seconda variante di Petya, armata con il payload del ransomware Mischa, cripta anche i documenti e non necessita di autorizzazioni amministrative da parte della vittima.

3. Decodifica

Molti esperti hanno affermato che gli aggressori di NotPetya non sono riusciti a decriptare i file. Ad esempio, il National Cyber Security Centre del Regno Unito ha dichiarato che: "Il malware non è stato progettato per essere decifrato. Ciò significa che le vittime non avevano modo di recuperare i dati una volta crittografati". Tuttavia, i ricercatori di Vice hanno scoperto che gli hacker di NotPetya sono riusciti a sbloccare tutti i file crittografati dal ransomware.

Che tipo di attacco era NotPetya?

NotPetya è stato molto probabilmente un attacco informatico. I suoi autori sembravano più interessati a interrompere i sistemi che a generare entrate, ed è improbabile che i piccoli hacker avessero le risorse o le competenze per trasformare Petya in NotPetya così rapidamente.

Chi ha preso di mira NotPetya?

Sebbene NotPetya si sia diffuso organicamente in Europa, Asia e Nord America, il suo obiettivo reale era molto probabilmente l'Ucraina. NotPetya ha colpito i settori governativo, dei trasporti, dell'energia e finanziario, causando ingenti perdite monetarie e di produttività nel Paese europeo. L'attacco NotPetya è iniziato anche alla vigilia della Giornata della Costituzione ucraina.

Chi ha avviato NotPetya?

NotPetya ha le caratteristiche della guerra informatica sponsorizzata da uno Stato. I politici ucraini hanno incolpato i servizi di sicurezza russi per NotPetya e il governo americano ha concordato. Il Cremlino ha risposto negando queste affermazioni e sottolineando che il ransomware si è diffuso anche in Russia. Tuttavia, un portavoce nazionale ha dichiarato che l'attacco non ha causato gravi danni in Russia.  

NotPetya è un ransomware?

Alcuni esperti sostengono che NotPetya non sia un ransomware perché i suoi autori potrebbero non avere la capacità di decriptare i computer. Ma la risposta a "NotPetya è un ransomware" dipende dalla vostra definizione di ransomware. Si potrebbe dire che NotPetya è un ransomware indipendentemente dalla capacità dei suoi autori di decriptare i computer, perché impedisce agli utenti di accedere ai loro file o al loro sistema e richiede il pagamento di un riscatto. Allo stesso modo, anche WannaCry è un ransomware anche se i suoi autori possono avere la capacità di decriptare i computer.

Come fermare Petya

Forse avete letto di come gli attori delle minacce stiano utilizzando le vulnerabilità SMB per lanciare attacchi ransomware come NotPetya e WannaCry. Scaricando le più recenti patch di Windows Server Message Block (SMB) è possibile eliminare queste falle di sicurezza. È importante anche utilizzare un software di sicurezza in grado di proteggere dal ransomware. Anche il backup regolare dei dati può aiutare a essere preparati in caso di attacco ransomware.