FAQ sul ransomware Petya: cose note e non note
Ecco alcune domande e risposte su Petya che ti aiuteranno a far chiarezza. Per avere gli ultimi aggiornamenti su Petya leggi questo post dei Laboratori F-Secure.
Questa violazione si chiama ancora Petya?
Sì.
Microsoft Defender l’ha rilevata come “Petya.A”.
“Abbiamo verificato che il codice MBR di Petya di una variante dello scorso dicembre è molto simile al codice MBR di questa nuova variante” ha dichiarato Karmina Aquino, Service Lead dei Laboratori di F-Secure. “Ci sono solo alcune minime differenze.”
Petya è un ransomware?
Sì, Petya è un ransomware.
Ma Petya fa anche altre cose oltre a crittografare i file tenendoli in ostaggio?
Petya ruba anche le password perché ne ha bisogno. I network worm rubano password quindi anche Petya lo fa.
Microsoft scrive che Petya è un attacco attraverso la “catena di approvvigionamento” che ha sfruttato le vulnerabilità conosciute come EternalBlue ed EternalRomance scoperte dalla National Security Agency e poi rese pubbliche dal gruppo di hacking Shadowbrokers all’inizio di quest’anno. Questo significa che c’era del software di terze parti sul computer che ha abusato del processo di aggiornamento del software MEDoc. I server MEDoc potrebbero essere stati compromessi o resi delle vittime da un attacco “man-in-the-middle”.
Ma è troppo presto per poterlo dire con certezza o per fare speculazione informata.
“Le cose che non sappiamo sono troppe per il momento,” ha dichiarato Sean Sullivan, Security Advisor di F-Secure.
Può Petya infettare tutti, inlcusi gli utenti nelle loro case o solo le reti?
“Nella nostra analisi, abbiamo visto che Petya crittografa i file anche se non vi è una connessione a una rete,” ha precisato Karmina. “Tuttavia, sulla base di uno dei vettori dell’infezione che abbiamo visto, così come del tipo di vittime, sembra che il target siano le aziende, che sono state il principale bersaglio di Petya anche nelle precedenti varianti.”
C’è uno Stato dietro Petya?
“Non ci scommetterei al momento,” ha precisato Sean.
Karmina ha aggiunto che, “Abbiamo analizzato il codice, e per ora non abbiamo trovato alcuna evidenza che questo malware stia cercando di essere qualcosa di diverso da un ransomware.”
Dobbiamo pensare che ci siano dei “professionisti” dietro Petya?
Alcune persone ipotizzano che si tratti di uno Stato o di un gruppo di dilettanti perché usa l’email che è stata disattivata dal provider Posteo. Ma qui si ignora come funziona il ransomware.
“I criminali vogliono essere pagati,” spiega Sean. “Non possono usare la telepatia o piccioni viaggiatori.”
Come ha spiegato Sean su Twitter, ci sono solo due modi per i criminali di essere pagati dai clienti – l’email o un portale web. Petya usa l’email, come la maggior parte delle minacce crypto-ransomware.
Quando abbiamo fatto indagini sui criminali del ransomware, quasi tutte le nostre negoziazioni sono state condotte via email. Solo una delle due famiglie di ransomware con un portale ha risposto. Tutti i 3 gruppi di criminali che usavano l’email hanno risposto con un email e sono stati anche molto più professionali di molti vendor software.
C’è un kill-switch in Petya?
No, un kill switch è una soluzione centralizzata.
Non c’era un “kill switch” nemmeno in WannaCry. C’era una funzione anti-emulazione che controllava quello che avrebbe potuto essere un dominio inesistente. Spesso il malware ha un “bullshit checker” che impedisce che il malware venga analizzato da macchine virtuali. Un ricercatore ha scoperto il dominio che aveva segnalato che la minaccia era stata eseguita su una macchina virtuale e lo ha registrato. Il checker ha poi impedito l’attivazione di WannaCry.
Non abbiamo visto nulla di tutto ciò in Petya.
C’è un vaccino/inoculazione per Petya?
E’ molto comune per il malware evitare un’infezione doppia, così che il malware non finisca in un loop infinito e riveli se stesso. Ci sono molti strumenti là fuori per il ransomware comune che sfruttano gli strumenti integrati del malware per impedire che venga analizzato. E c’è molto malware che non ti infetterà se stai usando una tastiera in cirillico o un indirizzo IP russo.
Come vaccino o inoculazione puoi spargere marcatori che suggeriscono che tu sei una macchina virtuale o in Russia. Ma se questi trucchi diventano comuni, le minacce si adattano per aggirarli.
Per Petya, c’è un’inoculazione o un vaccino, ma probabilmente non ne vale la pena.
“Se hai il tempo per sviluppare un vaccino, hai cose migliori da fare che non proteggerti contro un ransomware,” spiega Sean. “Esegui gli aggiornamenti di Microsoft, rimuovi ogni software che non stai usando, affidati a un password manager, cambia le tua password… Ci sono cose che puoi fare per proteggerti contro molteplici tipi di malware. Applica in modo corretto le misure basilari.”
Ecco altre cose che la tua azienda può fare per battere Petya.
L’email che fornisce la chiave di decrittografia è disattivata?
Sì, i Laboratori di F-Secure hanno verificato che l’email torna.
Victims keep sending money to Petya, but will not get their files back: No way to contact the attackers, as their email address was killed. pic.twitter.com/68vxThNIPM
— @mikko (@mikko) June 28, 2017
Il sito dell’azienda di hosting Posteo dice di essere “in contatto con il Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik).”
Le aziende possono pagare?
Non per ora. Questo riduce le vittime ma non in modo permanente.
I criminali troveranno un altro modo per essere pagati, del resto hanno ancora accesso backdoor al ransomware.
“Questi ragazzi potrebbero creare un portale,” spiega Sean. “Potrebbero vendere la chiave di decrittografia ad altri criminali.”
O potrebbero non fare nulla e andare avanti.
“Se ciò sembra senza senso o come uno spreco di risorse, allora non conosci i criminali informatici,” afferma Sean. “Quando la prossima ondata di spam si verificherà, questi criminali potrebbero essere su qualcos’altro che potrebbe far fruttare un sacco di soldi.”
Spegnere tutto quando vedi CHKDISK salverà i tuoi file?
Apparentemente no.
C’è uno strumento di decrittografia che qualche hacker etico ha creato?
Stiamo indagando su questo.
F-Secure mi protegge da Petya?
Sì, i prodotti di protezione endpoint di F-Secure prevengono tutte le varianti di Petya.
Articolo tratto da “Petya Ransomware FAQ: Known Knowns and Unknowns” di Jason Sattler, Social Media Consultant di F-Secure Corporation.
Categorie