Petya, decodificato il ransomware, si leggeva solo il 13 Aprile dello scorso anno (2016)
Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.
A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto, anzi tutt'altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all'avvio del malware tramite un apposito sito Web.L'estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.
Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.
Petya o WannaCry, cari amici, lettori e clienti, qui riportiamo una notizia di ANSA, a conferma delle nostre raccomandazioni sulla sicurezza.
MOSCA - Dopo Russia e Ucraina un attacco hacker sta colpendo società in tutto il mondo, anche la centrale di Chernobyl dove sono interessati i sistemi di monitoraggio dell'aria ma senza preoccupazione.
Lo scrive la Bbc online, precisando che anche l'agenzia pubblicitaria britannica Wpp risulta tra le società colpite così come la francese Saint Gobin. E l'Associated Press cita tra queste anche il colosso dei trasporti marittimi Moller-Maersk. "Un attacco hacker senza precedenti ha colpito l'Ucraina ma i nostri specialisti informatici fanno il loro lavoro e proteggono le infrastrutture cruciali. I sistemi vitali non sono stati danneggiati, l'attacco verrà respinto e i responsabili saranno individuati". Così su Facebook il premier ucraino Volodomyr Groysman.
Il sito della Rosneft, colosso petrolifero russo, è irraggiungibile e nella metropolitana di Kiev non si possono effettuare pagamenti elettronici ma il sistema dei trasporti funziona. Nell'aeroporto di Borispil, in Ucraina, si registrano ritardi ai voli. In Russia, oltre a Bashneft e Rosneft, anche Mars e Nivea sono coinvolte.
Il virus responsabile - secondo la società di cyber sicurezza Group-IB - sarebbe 'Petya' e non 'WannaCry'. E' un ransomware, cioè quella tipologia di virus che cifrano i dati con finalità di estorsione, perchè per rientrare in possesso dei propri dati viene chiesto un riscatto agli utenti. La sua particolarità è quella di bloccare non solo singoli file ma l'intero hard disk del computer, cioè la memoria che archivia file, programmi e sistemi operativi. Secondo Symantec, sarebbe stato 'armato' con EternalBlue, lo stesso codice usato per WannaCry e rubato all'Nsa.
"Credo non ci sia nessun dubbio che dietro a questi 'giochetti' ci sia la Russia perché questa è la manifestazione di una guerra ibrida". Così il consigliere del ministro dell'Interno ucraino Zoryan Shkiriak a 112 Ucraina parlando dell'attacco hacker che ha colpito oggi l'Ucraina (e la Russia, ndr).
Stando ad altri media, la portavoce dell'SBU - i servizi di sicurezza di Kiev - avrebbe detto che all'interno dell'agenzia si suppone che gli attacchi siano partiti dalla Russia o dai territori occupati del Donbass
Anche la centrale nucleare di Chernobyl è stata colpita dall'attacco hacker, come riporta il sito ucraino Kromadske. Secondo l'Agenzia nazionale per la gestione della zona contaminata, i sistemi interni tecnici della centrale "funzionano regolarmente" e invece sono "parzialmente fuori uso" quelli che monitorano "i livelli di radiazione". Il sito della centrale elettrica è inoltre inaccessibile.
"L'uso del virus Petya è atipico per una azione cybercriminale su questa scala - spiega all'ANSA l'esperto di sicurezza Andrea Zapparoli Manzoni -. Questo particolare ransomware potrebbe essere stato usato come mezzo distruttivo per la sua caratteristica di cifrare l'intero disco del computer, che quindi diventa inutilizzabile. Confondendo così le acque perché si tratta di un ransomware e non, strettamente parlando, di una cyber-arma. Perfetto quindi per coprire un attacco con finalità geopolitiche".
"L'attacco è stato condotto attraverso un ransomware gia noto ma modificato: secondo le valutazioni preliminari è stato pianificato in anticipo e si è svolto a tappe", spiegano i servizi segreti di Kiev.