NotPetya

La richiesta del riscatto.

Attacco hacker colpisce società in tutto il mondo Dopo Russia e Ucraina anche società britannica pubblicità Wpp e Moller-Maersk Un nuovo attacco hacker, simile al 'ramsonware' WannaCry, ha colpito il mondo e in particolar modo l'Ucraina. Qui il contagio è stato "massiccio" e il premier Volodomyr Groysman non ha esitato a definirlo "senza precedenti". Nel mirino, infatti, sono finite grandi banche, compagnie elettriche, società di trasporti - a Kiev in metrò non si poteva pagare con la carta di credito - e aeroporti; persino la centrale nucleare di Cernobyl ha subito guasti, benché non ai "sistemi critici interni". E l'Ucraina ha subito puntato il dito contro la Russia. "Non c'è alcun dubbio che dietro a questi 'giochetti' ci sia Mosca", ha tuonato il consigliere del ministro dell'Interno ucraino Zoryan Shkiriak, sottolineando come il cyber-attacco non sia altro che l'ennesima manifestazione della "guerra ibrida" del Cremlino. L'accusa, grave, è stata puntellata dalle parole del segretario del Consiglio di Sicurezza e della Difesa Oleksandr Turchynov: "Già dopo un'analisi preliminare del virus - ha dichiarato - si può parlare di una traccia russa". Pure la Russia, però, è stata colpita [ ... ].

Ansa

Un nuovo attacco hacker ransomware sta colpendo i paesi del mondo, si chiama Petya Dopo Russia e Ucraina anche società britannica pubblicità Wpp e Moller-Maersk Dopo che i paesi Russia e Ucraina sono stati colpiti da attacchi informatici, un nuovo attacco hacker sta colpendo le aziende di tutto il mondo. [ ... ] Il ransomware si chiama Petya. Andrei Barysevich, portavoce della società di sicurezza Recorded Future, ha dichiarato alla BBC di aver visto una vendita di malware su molti forum negli ultimi 12 mesi. «Costano solo 28 dollari nei forum», ha detto. «Ma non siamo sicuri se abbiano usato l’ultima versione o una nuova variante». Barysevich ha detto che gli attacchi non si fermeranno perché i ladri cybernetici hanno capito che parliamo di bottini sostanziosi [ ... ].

WebMagazine24

1

Altra epidemia di ransomware – virus che inducono l'utente a pagare un riscatto, crittografando i dati – ed immediatamente del misfatto viene accusato il Cremlino.

Fonte dell'accusa ?
Il governo nazionalista ucraino, una fonte notoriamente “sobria”.

Prove ?
Nessuna.

2

Il virus protagonista dell'epidemia in corso è conosciuto con vari nomi : Petya, Petrwarp, NotPetya, ExPetr ...
Sarebbe una versione evoluta di un virus più vecchio battezzato “Petya” [ 1 ] – Петя è sia la forma diminutiva ( confidenziale ) che la variante femminile di Пётр ( Pietro ) – che si diffuse anni fa ma venne sgamato e risolto per sue debolezze di codice.
Secondo il team di Kaspersky Lab, però, sebbene vi siano similitudini con Petya, quest'altro funzionerebbe in modo completamente differente : [ 2 , 3 ]. Il team ha perciò battezzato il virus ExPetr, e con tale nome lo si trova nelle implementazioni ai prodotti della casa russa.

NotPetya – per il momento e per mia convenzione lo chiamerò così – attacca l'MFT ( Master File Table ) [ 4 , 5 , 6 ] cioè il luogo in cui sono registrate le informazioni su ogni file e directory di un volume formattato come NTFS : se l'MFT viene crittografato, il computer non riesce nemmeno più ad avviare l'OS e, al posto del consueto avvio, appare la richiesta di riscatto con le istruzioni per il pagamento di 300 USD in Bitcoin.
E' una tecnica molto efficiente, e più celere del crittografare ogni singolo file che risiede nella macchina.
{ l'NTFS ( New Technology File System ) [ 7 ] è il file system – il modo di organizzare i file sulle memorie di massa – [ 8 ] tipico dei sistemi operativi Microsoft Windows ma gestibile anche da Linux }.

Sempre dal comunicato della casa russa, apprendiamo che per propagarlo, i cracker ( criminal hacker ) hanno usato anche le versioni modificate degli exploit EternalBlue – ben conosciuto dalla NSA ed usato nella pandemia di Wannacry [ 9 ] – ed EternalRomance : [ 2 ].

3

I siti di news generalisti danno grande risalto proprio alla “fonte” di Kiev, ed in prima linea ho visto il pessimo tg di SkyNews24, stamane al bar, che subito lega il Cremlino al computer della centrale di Cernobyl che sarebbe stato infettato, con il sudicio intento politico di aizzare e massimalizzare la russofobia del pubblico non-acculturato e sub-acculturato.
Secondo Kiev, gli attacchi sarebbero partiti dalla Federazione Russa e – guarda caso – dal Donbass, la regione russofona separatista i cui cittadini sono stati riconosciuti da V. V. Putin a febbraio [ 10 ].
{ almeno, l'Ansa ricorda che ci sono stati molti obiettivi centrati anche nella Federazione Russa }. 

L'affermazione del segretario del Consiglio di Sicurezza e della Difesa Oleksandr Turchynov – “Già dopo un'analisi preliminare del virus si può parlare di una traccia russa” – è ridicola : dal codice del virus non si può capire da dove è partito il primo attacco.
E' sufficiente andare su un sito specializzato – come quello che ho citato sopra – per apprendere due cose generali :

1 – qualunque ragazzino sveglio può comprare un virus sul mercato della darknet ( la rete Tor );
2 – questo ragazzino può vivere in qualunque sito fisico del mondo, siccome vi sono dozzine di strumenti gratuiti e utili a dissimulare la propria posizione concreta;
3 – il ragazzino può ottenere altri strumenti malevoli e veicolare a random il virus.

{ se lo può fare un ragazzino sveglio, lo può fare qualsiasi organizzazione in anonimato }.

Ma.
Nel caso specifico, Forbes riporta [ 11 ] che i ricercatori di Kaspersky Lab e di altre società ( AlienVault, Cisco Talos ) hanno le prove che la prima diffusione del virus sarebbe avvenuta attraverso gli aggiornamenti di un prodotto di una piccola software house ucraina, la MeDoc :

Is This Ukrainian Company The Source Of The 'NotPetya' Ransomware Explosion? [ ... ] Claims implicating Me-Doc as a victim and a vessel for further attacks came from various sources, including the researcher credited with ending the WannaCry ransomware outbreak, a British malware analyst who uses the name "MalwareTech."Aleks Gostev, chief security expert of the Global Research and Analysis Team at Kaspersky Lab, claimed to have logs that revealed MeDoc as the source. And AlienVault chief scientist Jaime Blasco said a victim with access to an infected PC confirmed the connection to MeDoc. Cisco's Talos division also said it was possible that MeDoc was used as an initial infection vector [ ... ].

Forbes

4

La software house Cybereason ha dichiarato di avere messo a punto un primo trattamento del virus :

Cybereason discovers NotPetya Vaccination Cybereason Principal Security Researcher Amit Serper discovered a work around solution that disables the NotPetya ransomware that wreaked havoc in Europe on Tuesday. To activate the vaccination mechanisms users must locate the C:\Windows\ folder and create a file named perfc, with no extension name. This should kill the application before it begins encrypting files. When first run, the NotPetya ransomware searches for its own filename in the C:\windows\ folder, and if it is found, will cease operating. Once the original file name was found and verified by two different sources, Amit was able to piece together a kill switch that should work for any instance of the original ransomware infection [ ... ].

Cybereason

E pochi minuti fa, l'anti-ransomware Cybereason RansomFree ha eseguito l'aggiornamento alla versione 2.3.0.0 sulla macchina che sto usando per scrivere questo post :





{ vedi mio post sugli anti-ransomware gratuiti : [ 12 ] }.

Anche questo virus può essere diffuso attraverso gli allegati di posta elettronica : non fate come canta Elio [ 13 ] !
E fate il back-up periodico dei dati !