Cosa sono i ransomware Petya e NotPetya?
Petya e NotPetya hanno colpito i computer rispettivamente nel 2016 e 2017, il secondo ha causato danni per miliardi di dollari. La prima variante di Petya ha criptato i record di avvio principale per rendere inutilizzabili interi dischi rigidi invece di crittografare file specifici come fanno i ransomware tipici. Un'altra variante di Petya è stata più pericolosa, infettando i record di avvio e crittografando i documenti.
Una versione significativamente modificata di Petya, ribattezzata dai ricercatori come NotPetya, è stata più distruttiva e diffusa rispetto alle vecchie versioni di Petya. A differenza di Petya, NotPetya potrebbe essere stata un’arma informatica. Ha colpito principalmente le organizzazioni in Ucraina.
Che cos'è Petya?
Petya è un malware cripta-file scoperto dai ricercatori nel 2016. Il suo nome è ispirato a un satellite sovietico fittizio dal film di James Bond GoldenEye (1995). Sebbene il tasso di penetrazione di Petya fosse nella media, la sua tecnica di crittografia era innovativa e insolita.
Cosa ha fatto Petya?
Il ransomware si diffondeva tramite email di phishing contenenti un PDF che fungeva da cavallo di Troia. Appena qualcuno attivava Petya e gli concedeva l'accesso admin, il ransomware iniziava a lavorare. Dopo aver riavviato il computer bersaglio come un virus del settore di avvio, sovrascriveva l'MBR (Master Boot Record) per crittografare il disco rigido. Sebbene i file su un computer infettato da Petya non fossero criptati, corrotti o persi, erano inaccessibili. Petya richiedeva Bitcoin alle vittime per ripristinare l'accesso.
Qual è la differenza tra Petya e NotPetya?
NotPetya era una versione potenziata di Petya. Gli esperti di cybersecurity lo hanno chiamato "NotPetya", e il nome è rimasto. Sebbene entrambi Petya e NotPetya possano aiutare un criminale informatico a lanciare un attacco ransomware, esistono alcune differenze critiche.
1. Propagazione
Petya non si diffondeva quasi altrettanto rapidamente di NotPetya per alcune ragioni. In primo luogo, cercava di ingannare gli utenti affinché lo aprissero, e molti utenti di computer moderni riescono a identificare le tecniche di social engineering come il phishing. La variante originale di Petya richiedeva anche permessi admin che molti utenti esperti non condividevano. D'altro canto, NotPetya si propagava più velocemente tramite backdoor, exploit come Eternal Blue e vulnerabilità di accesso remoto. Puoi leggere di EternalPetya per saperne di più sulla famiglia del ransomware Petya.
2. Crittografia
Come menzionato sopra, la versione originale di Petya non crittografa file, solo il record di avvio per impedire alle vittime di caricare Windows. Al contrario, NotPetya criptava i file e danneggiava persino alcuni dischi di archiviazione. I due differivano anche nei loro display e nei messaggi ai loro bersagli. Interessante, una seconda variante di Petya armata con il payload ransomware Mischa crittografa anche i documenti e non necessita di permessi amministrativi dalla vittima.
3. Decriptazione
Molti esperti hanno affermato che gli attaccanti di NotPetya non potevano decriptare i file. Ad esempio, il National Cyber Security Centre del Regno Unito ha detto: “Il malware non era progettato per essere decriptato. Questo significava che non c'era modo per le vittime di recuperare i dati una volta che erano stati criptati.” Tuttavia, i ricercatori di Vice hanno scoperto che i hacker di NotPetya potevano sbloccare tutti i file criptati dal ransomware, dopo tutto.
Che tipo di attacco era NotPetya?
NotPetya era molto probabilmente un attacco informatico. I suoi autori sembravano più interessati a disturbare i sistemi piuttosto che a generare entrate, ed è improbabile che hacker inesperti avessero le risorse o le capacità per sviluppare Petya in NotPetya così rapidamente.
Chi ha colpito NotPetya?
Mentre NotPetya si diffondeva organicamente in Europa, Asia e Nord America, il suo obiettivo reale era molto probabilmente l'Ucraina. NotPetya ha colpito i settori governativo, dei trasporti, energetico e finanziario, provocando gravi perdite economiche e di produttività nel paese europeo. L'attacco NotPetya è iniziato anche alla vigilia della Giornata della Costituzione dell'Ucraina.
Chi ha iniziato NotPetya?
NotPetya ha le caratteristiche della guerra informatica sponsorizzata dallo Stato. I politici ucraini hanno accusato i servizi di sicurezza russi per NotPetya, e il governo americano è d'accordo. Il Cremlino ha risposto negando queste affermazioni e sottolineando che il ransomware si è diffuso anche in Russia. Tuttavia, un portavoce nazionale ha detto che l'attacco non ha causato gravi danni in Russia.
NotPetya è ransomware?
Alcuni esperti sostengono che NotPetya non sia un ransomware perché i suoi autori potrebbero non avere la capacità di decriptare i computer. Ma la risposta alla domanda "NotPetya è un ransomware" dipende dalla vostra definizione di ransomware. Si potrebbe dire che NotPetya è un ransomware indipendentemente dall'abilità dei suoi autori di decriptare i computer perché impedisce agli utenti di accedere ai loro file o al sistema e richiede un pagamento di riscatto. Analogamente, anche WannaCry è una variante di ransomware anche se i suoi autori potrebbero avere la capacità di decriptare i computer.
Come fermare Petya
Potresti aver letto su come gli attori di minaccia stanno usando le vulnerabilità SMB per lanciare attacchi ransomware come NotPetya e WannaCry. Scaricare le più recenti patch del Windows Server Message Block (SMB) può colmare queste falle di sicurezza. L'utilizzo di un software di sicurezza che possa proteggere dai ransomware è anche importante. Eseguire regolarmente il backup dei tuoi dati può anche aiutarti a essere preparato in caso di un attacco ransomware.