Analisi del ransomware Petya: come si è diffuso l’attacco

Analisi del ransomware Petya: come si è diffuso l’attacco

petya-ransomware-analysis-banner

Dai meandri di WannaCry è emersa una nuova minaccia: Petya. Diffuso il 27 Giugno dall’Europa dell’est, il ransomware Petya ha infettato velocemente moltissime aziende ucraine e russe prima di diffondersi in tutto il mondo. Società del Sud America, degli Stati Uniti ed Asia hanno riportato diversi attacchi causati da Petya.

Quello che rende quest’attacco più imbarazzante è il fatto che Petya utilizzi lo stesso exploit della NSA utilizzato da WannaCry – una vulnerabilità che è facilmente risolvibile seguendo il consiglio degli esperti di sicurezza, ovvero scaricare gli ultimi aggiornamenti di sicurezza rilasciati da Microsoft. Comunque, l’impatto di Petya è su larga scala e sembrerebbe che molte società non abbiano preso in considerazione il precedente attacco lasciando la propria infrastruttura vulnerabile a nuovi attacchi.

Mentre ci dispiace per tutte quelle vittime affette da Petya, cerchiamo di sfruttare questo attacco per diffondere sapere e consigli di sicurezza precauzionali. In questo articolo, ti mostreremo delle analisi dettagliate sul ransomware Petya e sulla sua diffusione, come Petya affligge le organizzazioni e quello che puoi fare per mantenere il tuo sistema protetto.

Riassunto: cos’è il ransomware Petya?

petya-ransom-note

Petya è un ransomware alquanto unico. Modellato e modificato dal ransomware Petya in circolazione nel Marzo del 2016, la variante corrente installa un suo sistema operativo personalizzato e inizia a crittografare i file durante il processo di avvio del sistema, bloccando gli utenti fuori dal proprio computer.

Dopo aver infettato il sistema spacciandosi per un processo di verifica CHKDSK, il ransomware mostra una schermata per il pagamento di 300$ in bitcoin per decriptare i propri file e riavere l’accesso al computer. Si diffonde più o meno come WannaCry, scannerizzando i sistemi connessi ad internet alla ricerca di quei computer con il protocollo SMBv1 abilitato e non aggiornato con il pacchetto di sicurezza MS17-010.

Puoi scoprire tutti i metodi di crittografia di Petya nel nostro articolo iniziale su questo attacco.

Qual’è stato lo scopo del ransomware Petya?

Le intenzioni dietro l’attacco di Petya si sono evolute dal momento di diffusione. Dall’esterno si potrebbe vedere che il ransomware è stato creato per far guadagnare la maggior parte di soldi ai criminali.

Tuttavia, se prestiamo un’analisi più dettagliata, possiano notare un aspetto finanziario che è molto più di un diversivo. L’utilizzo di un pagamento bitcoin tracciabile e di un canale di comunicazioni vulnerabili (l’indirizzo email è stato prontamente rimosso dal’email provider), significa che i produttori del ransomware sapevano che il profitto nel lungo termine non era fattibile.

Le nostre ipotesi si sono rivelate corrette; al momento della condivisione, poco meno di 4 bitcoins (circa 10.000$) sono stati paganti nel portafoglio bitcoin connesso all’attacco Petya. I criminali dietro WannaCry hanno ricevuto pagamenti per più di 51 bitcoin (oltre 130.000$), mentre il famoso CryptoLocker del 2013/14 ha fruttato più di 3 milioni di dollari dalle vittime.

Perciò, se l’obiettivo primario di Petya non era quello di far fruttare soldi, per qual motivo è stato diffuso? Pensiamo, confermando l’ipotesi di molti esperti, che Petya è stato creato solo per “distruggere”. L’intento dei criminali è stato infatti quello di colpire le organizzazioni, in maniera particolare il governo ucraino, piuttosto che l’intento di guadagnare soldi.

Com’è avvenuto l’attacco del ransomware Petya?

Inizialmente l’attacco ransomware è partito nei confronti di M.E.Doc, una compagnia ucraina che produce software di contabilità. Molte fonti, tra cui Microsoft e la polizia ucraina, hanno affermato che il software M.E.Doc è stato infettato dal ransomware, tramite il processo di aggiornamento. Quando il software M.E.Doc ha scaricato gli aggiornamenti compromessi, ha infettato i computer, diffondendo la minacce in Ucraina e Russia.

“Ucraina e Russia sono gli stati maggiormente infettati,” spiega la ricercatrice ransomware di Emsisoft, Sarah.

“abbastanza interessante notare che l’Ucraina è il principale obiettivo dei ransomware da qualche mese a questa parte.”

Il 27 Giugno, M.E.Doc ha pubblicato un messaggio confermando la loro esposizione all’attacco:

“Attenzione!

I nostri server stanno diffondendo un virus.

Ci scusiamo per l’inconveniente temporaneo!”

(Tradotto)

Il post è stato scritto successivamente e conferma che i server della società sono stati compromessi e responsabili per la diffusione di Petya. E’ interessante notare che non è la prima volta che M.E.Doc è coinvolto in un attacco malware. Nel maggio di questo anno, i server della società sono stati utilizzati per la diffusione del ransomware XData, che ha messo a ferro e fuoco i sistemi informatici ucraini.

Oltre al coinvolgimento di M.E.Doc, Petya si è diffuso molto rapidamente. Grazie ad alcune previsioni non corrette da parte di alcuni esperti di sicurezza, l’infezione è stata circoscritta a 24 ore – ma è riuscita ad infettare circa 2000 sistemi in tutto il mondo…

Quali società sono state affette dall’attacco informatico Petya?

petya-ransomware-analysis-infection

  1. Governo dell’Ucraina, banche e il centro nucleare di Chernobyl

Come affermato, l’Ucraina è stata colpita in modo particolare da Petya. Banche, aeroporti, società industriali e dipartimenti governativi sono stati attaccati dal ransomware e nello stesso momento gli addetti alla sicurezza hanno tentato di minimizzare il problema e ripristinare gli accessi.

“Il risultato di questo attacco informatico è quello di creare disservizi nelle operazioni bancarie e nei servizi ai clienti” ha commentato la banca centrale ucraina, ripresa dal The New York Times.

I computer del centro nucleare di Chernobyl sono stati spenti dopo che il ransomware è stato rilevato nella rete, tuttavia il direttore Vladimir Ilchuk afferma che non ci sono minacce di fuoriuscite radioattive.

  1. Rosneft (Russia)

I server di Rosneft, il produttore di petrolio più importante della Russia, sono stati compromessi e il sito della società è stato reso inaccessibile. Spostando la produzione su un sistema parallelo, l’organizzazione è stata in grado di ripristinare la produzione con un minimo impatto.

  1. Cadbury (Australia)

Anche se la maggior parte delle infezioni Petya si sono registrate nell’est Europa, il ransomware è riuscito ad arrivare anche oltre oceano. Nella notte del 27 Giugno, la società produttrice di cioccolato Cadbury in Hobart, Australia, è stata costretta ad interrompere la produzione dopo che alcuni lavoratori hanno trovato i computer bloccati dal ransomware.

  1. Maersk (Danimarca)

Il gigante della logistica, Maersk, la compagnia di trasporti più grande nel mondo, ha visto i propri sistemi presi di mira da Petya. Alcuni dipartimenti sono stati affetti, includendo quello dei trasporti, della lavorazione del petrolio e produzione del gas, inoltre anche il dipartimento delle trivellazioni e delle operazioni di logistica.

“Confermiamo che i sistemi informatici Maersk sono stati attaccati e messi offline a causa di un attacco informatico”, afferma un rappresentante di Maersk, riportato da Fortune.

  1. WPP, Saint-Gobain and Merck (UK, Francia e Stati Uniti)

Nell’UK, la società pubblicitaria britannica WPP ha ammesso che i sistemi informatici sono stati infettati da Petya e si sono verificati dei disservizi connessi. Anche la Francia non è rimasta immune dal malware, con Saint-Gobain, una società specializzata nella costruzione di materiale ha riportato l’attacco e le reti aziendali sono state spente per prevenire ulteriori infezioni. Oltreoceano invece, anche la compagnia farmaceutica Merck è stata colpita dal malware.

Cosa possiamo imparare dal ransomware Petya?

In primo luogo, Petya conferma che molte società sottovalutano i rischi dei ransomware – anche se ci sono tutti gli strumenti per combattere questi tipi di malware. Dalle centrali nucleari alle piantagioni di cioccolato, le società e le agenzie governative non seguono i consigli di sicurezza e/o non installano gli aggiornamenti protettivi, come emerge dalla diffusione di WannaCry.

Consiglio chiave: Sii pro-attivo! Effettua backup regolati, mantieni il tuo sistema operativo ed i software aggiornati, ascolta i consigli degli esperti di sicurezza.

In secondo luogo, Petya ci ha fatto pensare che i ransomware possano infliggere danni collaterali anche agli spettatori. L’Ucraina è stato l’obiettivo principale, ma il ransomware si è diffuso molto più esternamente, infettando Europa, Stati Uniti ed Australia.

Consiglio chiave: Puoi sempre essere colpito da un ransomware, anche se non sei nel raggio di fuoco. Assicurati di avere una soluzione anti-malware installata con un modulo per la protezione dai ransomware.

Qui ad Emsisoft, sviluppiamo soluzioni di sicurezza per la protezione del tuo computer, della tua famiglia e della tua azienda contro ogni tipo di ransomware. A differenza della maggioranza degli altri anti-ransomware sul mercato, Emsisoft Anti-Malware ed Emsisoft Internet Security sono in grado di intercettare i ransomware prima che essi prendano in ostaggio anche un singolo file, minimizzando il problema e facendoti risparmiare tempo e denaro.

CTA_ransomware_EAM_Download

Ti auguriamo una buona giornata, libera dai malware!