Grazie al team di per il supporto nella stesura dell'articolo.
ATTACCHI RANSOMWARE: PETYA O NOTPETYA?
Negli ultimi mesi abbiamo assistito ad attacchi ransomware su larga scala, e l’opinione pubblica ha iniziato a capire le potenzialità dannose di questi attacchi hacker.
Del primo, il famoso e famigerato WannaCry, ne abbiamo parlato in un articolo tempo fa.
Il secondo, invece, è particolarmente interessante da analizzare per capire alcune dinamiche.
Il 27 giugno 2017 si diffonde a macchia d’olio in tutta Europa il ransomware dapprima battezzato Petya, un virus che era stato scoperto a marzo 2016, data in cui aveva già colpito.
Il virus, che si comportava esattamente come gli altri ransomware, ovvero rendeva inaccessibile l’accesso ai dati e chiedeva un riscatto per poterli sbloccare, ha iniziato a colpire in Danimarca (la compagnia di trasporto marittimo, energia e cantieristica navale Maersk), poi in Russia, Ucraina, Gran Bretagna, arrivando anche in India. Le maggiori segnalazioni sono arrivate dall’Ucraina, dove ha infettato i computer del governo, di banche, negozi, reti metropolitane, ha paralizzato il sistema elettrico di città come Ukrenego e Kyivenergo e addirittura la centrale nucleare di Chernobyl, dove per diverse ore sono andati fuori uso i computer che controllano i livelli di radiazioni.
Ciò ci porta a fare diverse riflessioni:
-
gli attacchi ransomware non sono mirati, non esiste un vero e proprio target. Se una volta venivano sfruttati soprattutto per spionaggio/sabotaggio industriale, oggi colpiscono alla cieca e su scala mondiale;
-
gli attacchi hanno uno scopo ben preciso: il guadagno economico.
Potenzialmente, come abbiamo spesso ribadito, possiamo essere tutti vittima di attacchi ransomware. D’altronde basta avere un computer, uno smartphone o un tablet, e una connessione ad internet.
È LUI, CERTO CHE È LUI... ANZI NO!
Tornando a Petya: nel pomeriggio del 27 giugno, quando il ransomware aveva colpito già migliaia di computer, Kaspersky Lab, leader nella sicurezza informatica, rilascia un comunicato in cui viene battezzato il virus come NotPetya. Il motivo? Non è lo stesso virus che colpì nel 2016, e nemmeno una sua variante, ma un virus completamente nuovo. Risultavano infezioni un po’ in tutta Europa, compresa l’Italia. Eppure, pochi minuti prima, Trend Micro Italia aveva informato che il ransomware era simile a WannaCry e che non risultavano attacchi in Italia.
Nel tardo pomeriggio arriva anche il comunicato di Check Point Software Technologies, azienda israeliana, che dice che il ransomware era ancora indefinito, e che secondo le loro analisi, sembrava essere coinvolto anche un malware dal nome LokiBot, usato per il furto delle credenziali.
In serata si è iniziato a capire che “NotPetya” si diffondeva in rete come un classico worm, e non attraverso gli allegati delle mail, sfruttando una vulnerabilità di Windows (se non aggiornato).
Com’è possibile che i colossi della sicurezza informatica brancolavano nel buio?
La risposta è probabilmente tecnica: malware e ransomware sono il prodotto di codici diversi, che possono partire da diversi server e in ogni parte del mondo.
Quindi, nonostante si parli spesso di “corsa agli armamenti”, per affrontare gli attacchi ransomware e la cyberguerra contro gli hacker, bisogna prendere atto che
l’identificazione e l’attribuzione di un ramsomware non è solo un lavoro tecnicamente complesso, ma è “il ventre molle della strategia cyberbellica”.
NOTIZIE DAL FRONTE
Cosa possiamo aspettarci in futuro?
Vi diamo alcune notizie dal fronte della cyberguerra per avere un'idea sugli attacchi ransomware:
-
in un sito che ospita annunci, accessibile soltanto attraverso il dark-web, gli hacker autori di NotPetya hanno pubblicato quella che è la nuova richiesta di riscatto per tutti i computer che d’ora in poi saranno infettati da quel virus: 100 bitcoin, ovvero 250.000 dollari! Nell’annuncio, i cybercriminali ricordano che la chiave di decriptazione serve a rendere accessibili solo una parte dei file visto che, a differenza di WannaCry, NotPetya cancella quasi completamente anche i file di sistema degli hard disk;
-
secondo i ricercatori di Dragos, società statunitense di sicurezza informatica, hacker russi hanno sviluppato un nuovo malware battezzato “CrashOverride”. Questo malware è un’evoluzione di virus utilizzato già nel 2014 che aveva la capacità di entrare nel sistema di gestione delle centrali elettriche, permettendo agli hacker di manovrarlo a distanza. La nuova versione sarebbe in grado di mettere fuori uso le infrastrutture elettriche di qualsiasi Paese, agendo da sola, prendendo possesso delle operazioni in maniera autonoma. Secondo Dragos, questo malware potrebbe essere un “game changer”, ossia un virus così sofisticato da riscrivere le “regole del gioco” della strategia cyberbellica;
-
virus protagonisti di attacchi in passato, posso colpire di nuovo sotto la stessa forma o forme evolute. Un esempio? Il virus Cerber che ha colpito l’Italia nell’estate del 2016, è stato protagonista di un altro attacco massiccio nel gennaio 2017. A giugno c'è stata un’ondata di Cryptowall, “il gemello” di Cryptolocker. In futuro non sono da escludere attacchi di virus basati, ad esempio, su WannaCry;
-
nonostante WannaCry sia salito alla ribalta nel mese di maggio 2017, secondo i ricercatori di Check Point Software, nello stesso mese i malware più pericolosi sono stati Fireball, capace di attaccare i computer e renderli “zombie” (quindi potremmo averlo sui nostri PC e non rendercene conto), e RoughTed, malware usato in una campagna di “malvertising” che ha colpito il 16% delle aziende in tutto il mondo. Questi due malware sono in “cima alla classifiche” (RoughTed ha scalzato Fireball al primo posto) anche nel mese di giugno… Poco mediatici ma terribilmente efficaci…
-
si stanno diffondendo sempre di più malware e ransomware per dispositivi mobili. E sono molto sofisticati. Uno degli ultimi arrivati e più complessi in circolazione è GhostCtrl, un virus multifunzione per Android che è in grado sia di rubare e di cancellare i dati personali, che di prendere il controllo dei device per spiarci (controlla i sensori, registra audio e video, effettua chiamate a nostra insaputa). Un altro, scoperto di recente da McAfee, è LeakerLocker, un vero e proprio ransomware che però agisce in maniera diversa: non cripta i file sul nostro dispositivo Android chiedendo un riscatto in bitcoin, ma minaccia la vittima di rendere pubbliche entro 72 ore tutte le informazioni sensibili raccolte sul nostro cellulare, se non si paga il riscatto di 50 dollari. Una vera e propria estorsione;
-
secondo l’Annual Cybersecurity Report (ACR) 2017 di Cisco, un terzo delle aziende al mondo nel 2016 è stato vittima di un attacco hacker, non risparmiando alcun settore. A risentirne sono state soprattutto le operazioni di business (30%), la brand reputation (26%) e la fidelizzazione dei clienti (26%);
-
basso rischio di essere identificati, facilità di distribuzione ed efficacia: oltre questi elementi, il successo degli attacchi ransomware è trainato da una sempre maggiore facilità di accesso al mercato nero, dove si può “acquistare” un ransomware a costo contenuto grazie anche al servizio di ransomware-as-a-service;
-
i dispositivi IoT sono stati compromessi su scala massiva a causa delle lacune nei sistemi di sicurezza, aprendo le porte ad attacchi DDoS.