NotPetya, gli hacker hanno colpito con un tool sviluppato dall'intelligence americana

Si chiamano ransomware e sono dei malware che si attivano attraverso la posta elettronica. Una volta che l’utente apre l’allegato, il virus cripta i dati del computer infettato. Per recuperarli bisogna pagare un riscatto in Bitcoin sul Dark Web. Per ora sono in grado di colpire soltanto i computer ma in futuro potrebbero infiltrarsi anche su dispositivi mobili e smartphone. Il 2017 è stato l’anno del boom della diffusione di questa nuova generazione di virus. Prima Criptolocker, poi WannaCry e ora NotPetya, il ransomware che ieri ha paralizzato l’Ucraina, per poi propagarsi nel resto del globo. Uno scenario, questo, che preoccupa gli esperti di cybersecurity e che impone una strategia di difesa migliore rispetto a quella attuale. Ma chi si cela dietro questi attacchi e quali sono i rischi per gli utenti italiani? Ne abbiamo parlato con Francesco Corona esperto di cyber intelligence e docente di cyber security presso la Link Campus University di Roma.

Come funziona NotPetya?

NotPetya è una versione aggiornata del ransomware Petya, già decodificato nel 2016. Come per WannaCry, NotPetya ha integrato l’exploit d’attacco EternalBlue, sviluppato dal National Security Agency (NSA) statunitense e sfuggito al controllo della stessa agenzia. L’exploit è progettato per sfruttare un bug nel server Samba (SMB) dei sistemi Microsoft che infetta i PC connessi a Internet. NotPetya inserisce la modalità di distribuzione via email, la codifica dell'indice dei file nel file system NTFS (MFT) e la sostituzione del settore di boot del disco fisso con un boot loader custom che attiva una memoria video con la richiesta di riscatto. Le differenze con WannaCry sono poche: NotPetya sfrutta lo stesso exploit d’attacco, EternalBlue, mentre il codice di criptazione naturalmente è diverso.

Quanti soldi sono stati raccolti finora dagli hacker?

Poche migliaia di euro in bitcoin. A mio avviso non è una questione di soldi, molti computer infettati possono essere tranquillamente reinsallati dagli utenti poiché i dati criptati dal virus sono stati salvati su altri supporti e sono quindi ripristinabili. Solo chi è in possesso di dati criptati non salvati procede con il pagamento del riscatto.

Chi potrebbe esserci, quindi, dietro l'attacco?

È presto per dirlo. Potrebbe trattarsi di un’operazione "false flag" governativa per addossare colpe a governi rivali, un’operazione condotta da attivisti o semplicemente un’azione per estorcere denaro. Tuttavia, se fosse vera la prima ipotesi è necessario analizzare lo scenario geopolitico di riferimento per un corretta analisi di intelligence e considerare i principali paesi colpiti, che come ricorda Kaspersky Lab sono: Russia, Ucraina, Italia, Polonia, Regno Unito, Germania, Francia, Stati Uniti con alcune decine di migliaia di sistemi infettati.

Gli hacker hanno sfruttato una falla di Windows sviluppata e usata, secondo quanto riporta Wikileaks, dai servizi segreti americani. Questo avvalorerebbe la prima delle tre ipotesi?

Il fatto che un exploit della Nsa americana venga sottratto o rubato è sicuramente una circostanza molto strana. Che l’attacco abbia colpito inizialmente in Ucraina, inoltre, non vuol dire che sia partito dall’Ucraina. La sorgente di attacco può trovarsi, infatti, in un Paese rivale all’Ucraina oppure può provenire da un alleato dell’Ucraina che vuole far ricadere la colpa su un altro Stato, ad esempio la Russia. Cosa, quest'ultima, che si è verificata.

Ci sono imprese italiane colpite dall’attacco di ieri?

Sì, questo lo so per certo. Di queste aziende, che difficilmente, per una questione di reputazione, comunicheranno di essere state attaccate e di aver subito danni, alcune hanno anche pagato il riscatto.

Quali sono i rischi per gli utenti italiani e come dobbiamo difenderci?

I rischi sono elevati. Questa nuova generazione di attacchi ransomware va affrontata con una strategia di mitigazione dinamica dei rischi a due livelli. Per prima cosa con lo sviluppo di una adeguata consapevolezza per tutti gli utenti della rete e per chi utilizza gli strumenti email. Università e laboratori nazionali di ricerca, devono operare in questo senso utilizzando opportuni Cyber Security Operational Center in grado di realizzare uno scudo preventivo a questa tipologia di virus, con metodi di allertamento, analisi della minaccia e corrette operazioni di cyber intelligence e difesa dei sistemi cyber fisici nazionali.

In secondo luogo le aziende dovranno dotarsi di politiche di sicurezza, aggiornamento antivirus e formazione capillare per sapere come trattare gli allegati di mail sospette e come far detonare il malware all’interno di ambienti virtuali, attraverso cui decodificare velocemente il codice di criptazione e procedere con il recupero dei dati.