Cosa sono i ransomware Petya e NotPetya?
Petya e NotPetya hanno colpito i computer rispettivamente nel 2016 e 2017, il secondo ha causato danni per miliardi di dollari. La prima variante di Petya ha criptato i record di avvio principale per rendere inutilizzabili interi dischi rigidi invece di crittografare file specifici come fanno i ransomware tipici. Un'altra variante di Petya è stata più pericolosa, infettando i record di avvio e crittografando i documenti.
Una versione significativamente modificata di Petya, ribattezzata dai ricercatori come NotPetya, è stata più distruttiva e diffusa rispetto alle vecchie versioni di Petya. A differenza di Petya, NotPetya potrebbe essere stata un’arma informatica. Ha colpito principalmente le organizzazioni in Ucraina.
Che cos'è Petya?
Petya è un malware crittografico scoperto dai ricercatori nel 2016. Il suo nome è ispirato a un satellite sovietico fittizio del film di James Bond GoldenEye (1995). Mentre il tasso di penetrazione di Petya era nella media, la sua tecnica di crittografia era innovativa e insolita.
Cosa ha fatto Petya?
Il ransomware si è diffuso attraverso e-mail di phishing che contenevano un PDF funzionante come cavallo di Troia. Non appena qualcuno attivava Petya e gli concedeva l'accesso come amministratore, il ransomware si metteva al lavoro. Dopo aver riavviato il computer dell'obiettivo come un virus del settore di avvio, sovrascrive il Master Boot Record (MBR) per crittografare il disco rigido. I file su un computer infettato da Petya non venivano criptati, corrotti o persi, ma erano inaccessibili. Petya chiedeva alle vittime Bitcoin per ripristinare l'accesso.
Qual è la differenza tra Petya e NotPetya?
NotPetya era una versione potenziata di Petya. Gli esperti di cybersecurity lo hanno chiamato "NotPetya", e il nome è rimasto. Sebbene entrambi Petya e NotPetya possano aiutare un criminale informatico a lanciare un attacco ransomware, esistono alcune differenze critiche.
1. Propagazione
Petya non si è diffuso così rapidamente come NotPetya per alcuni motivi. In primo luogo, ha cercato di ingannare gli utenti per indurli ad aprirlo, e molti utenti moderni sono in grado di riconoscere le tecniche di social engineering come gli attacchi di phishing. La variante originale di Petya richiedeva inoltre permessi di amministrazione che molti utenti esperti non condividevano. D'altro canto, NotPetya si è propagato più rapidamente attraverso backdoor, exploit come Eternal Blue e vulnerabilità di accesso remoto. Per ulteriori informazioni sulla famiglia di ransomware Petya, potete leggere EternalPetya.
2. Crittografia
Come menzionato sopra, la versione originale di Petya non crittografa file, solo il record di avvio per impedire alle vittime di caricare Windows. Al contrario, NotPetya criptava i file e danneggiava persino alcuni dischi di archiviazione. I due differivano anche nei loro display e nei messaggi ai loro bersagli. Interessante, una seconda variante di Petya armata con il payload ransomware Mischa crittografa anche i documenti e non necessita di permessi amministrativi dalla vittima.
3. Decriptazione
Molti esperti hanno affermato che gli aggressori di NotPetya non sono riusciti a decriptare i file. Ad esempio, il National Cyber Security Centre del Regno Unito ha dichiarato che: "Il malware non è stato progettato per essere decifrato. Ciò significa che le vittime non avevano modo di recuperare i dati una volta crittografati". Tuttavia, i ricercatori di Vice hanno appreso che NotPetya hackers sono riusciti a sbloccare tutti i file crittografati dal ransomware.
Che tipo di attacco era NotPetya?
NotPetya era molto probabilmente un attacco informatico. I suoi autori sembravano più interessati a disturbare i sistemi piuttosto che a generare entrate, ed è improbabile che hacker inesperti avessero le risorse o le capacità per sviluppare Petya in NotPetya così rapidamente.
Chi ha colpito NotPetya?
Mentre NotPetya si diffondeva organicamente in Europa, Asia e Nord America, il suo obiettivo reale era molto probabilmente l'Ucraina. NotPetya ha colpito i settori governativo, dei trasporti, energetico e finanziario, provocando gravi perdite economiche e di produttività nel paese europeo. L'attacco NotPetya è iniziato anche alla vigilia della Giornata della Costituzione dell'Ucraina.
Chi ha iniziato NotPetya?
NotPetya ha le caratteristiche della guerra informatica sponsorizzata dallo Stato. I politici ucraini hanno accusato i servizi di sicurezza russi per NotPetya, e il governo americano è d'accordo. Il Cremlino ha risposto negando queste affermazioni e sottolineando che il ransomware si è diffuso anche in Russia. Tuttavia, un portavoce nazionale ha detto che l'attacco non ha causato gravi danni in Russia.
NotPetya è ransomware?
Alcuni esperti sostengono che NotPetya non sia un ransomware perché i suoi autori potrebbero non avere la capacità di decriptare i computer. Ma la risposta alla domanda "NotPetya è un ransomware" dipende dalla vostra definizione di ransomware. Si potrebbe dire che NotPetya è un ransomware indipendentemente dall'abilità dei suoi autori di decriptare i computer perché impedisce agli utenti di accedere ai loro file o al sistema e richiede un pagamento di riscatto. Analogamente, anche WannaCry è una variante di ransomware anche se i suoi autori potrebbero avere la capacità di decriptare i computer.
Come fermare Petya
Forse avete letto di come gli attori delle minacce stiano utilizzando le vulnerabilità SMB per lanciare attacchi ransomware come NotPetya e WannaCry. Scaricando le più recenti patch di Windows Server Message Block (SMB) è possibile eliminare queste falle di sicurezza. È importante anche utilizzare un software di sicurezza in grado di proteggere dal ransomware. Anche il backup regolare dei dati può aiutare a essere preparati in caso di attacco ransomware.