Ransomware Petya: la legge di Darwin vale anche nel cyberspazio

Il 27 giugno si è verificato un nuovo attacco ransomware, Petya. La patch è stata rilasciata in aprile. Perché qualcuno si è lasciato colpire?

bitdefender intel

La mattina del 27 giugno hanno iniziato a trapelare notizie di attacchi informatici contro le infrastrutture critiche dell’Ucraina, che includono aviazione, banche ed elettricità. Un malware sconosciuto aveva cominciato a colpire i sistemi IT in questi settori. I sistemi aziendali sono stati messi fuori uso e i normali processi di elaborazione sono stati interrotti. Fortunatamente, non è stata colpita alcuna tecnologia operativa, come la tecnologia che gestisce la rete energetica.

I sistemi interessati includono Ukrenergo, la società nazionale che distribuisce l’energia elettrica, e e Kyivenergo, società di distribuzione che serve la regione di Kiev. Mentre Ukrenergy non ha segnalato alcuna interruzione, Kyivenergy è stata costretta a fermare tutti i sistemi amministrativi, in attesa del permesso di riavviarli da parte del Servizio di Sicurezza dell’Ucraina (SBU).

Altre vittime includono:

  • il Governo ucraino, compreso il parlamento
  • la più grande banca dell’Ucraina, Oschadbank
  • l’aeroporto Borysopil di Kiev, dove sono stati colpiti i sistemi di di pianificazione e di gestione delle partenze
  • il servizio postale ucraino
  • il sistema della metropolitana di Kiev
  • stazioni televisive
  • Rosneft, una società petrolifera di proprietà del governo russo
  • il produttore di acciaio Evarz
  • tre compagnie telefoniche ucraine: Kyivstar, LifeCell e Ukrtelecom
  • la società di spedizioni danese Maersk ha riportato che sono stati compromessi i suoi sistemi in Gran Bretagna e Irlanda.

L’attacco si è verificato, probabilmente non a caso, a poche ore di distanza dall’attentato che ha causato la morte del colonnello Maxim Shapoval, funzionario dell’intelligence ucraina, e un giorno prima della Giornata della Costituzione del Paese.

Nuovo attacco, vecchia conoscenza

Il malware è stato presto identificato come Petya, Petrya o PETwrap, a seconda delle fonti. Petya ha utilizzato lo strumento EternalBlue, rubato alla NSA, la stessa vulnerabilità di Windows SMBv1 sfruttata da WannaCry. Inizialmente Petya non cripta i singoli file, ma sostituisce il master boot record (MBR) rendendo non accessibile l’intero sistema. Se l’MBR non è disponibile, esso procede crittografando i singoli file.

Perché non sono stati installati aggiornamenti e patch?

Forse la lezione più importante che possiamo imparare da questo attacco è che Charles Darwin aveva ragione. Sopravvivono i più forti, insieme ai più intelligenti.

A meno che non venga scoperto un vettore completamente nuovo in azione con questa nuova minaccia, le vittime di Petya non hanno alcuna scusa. La vulnerabilità SMB in questione era stata risolta da Microsoft prima degli attacchi WannaCry dello scorso maggio. Durante l’episodio WannaCry, Microsoft ha fornito ulteriori patch per i sistemi operativi più vecchi, come Windows XP e Server 2003, che non sono più supportati dai normali aggiornamenti. Anche con queste misure straordinarie per fornire agli utenti la protezione necessaria, qualcuno non ha fatto gli aggiornamenti.

Coloro che non hanno agito tempestivamente e/o installato le patch si sono messi su un vassoio d’argento, diventando vittime di Petya. E sono loro stessi fonte di nuova infezione per altri. E’ questo è il tipo di negligenza che mette in pericolo l’intero mondo informatico.

AUTOREJohn Bryk
FONTECSO
CWI.it
Con 12 milioni di lettori in 47 paesi, Computerworld è la fonte di informazione e aggiornamento per tutti coloro che progettano, implementano o utilizzano la tecnologia in azienda.