giovedì 29 giugno 2017

NotPetya non è un ransomware, ma una cyber-arma a fini di sabotaggio.


NotPetya, il ransomware che negli scorsi giorni ha infettato e bloccato centinaia di computer in tutto il mondo in realtà non è un ransomware: è un disk wiper, ovvero uno strumento pensato per sabotare e distruggere i computer. 

La conferma viene da Comae Technologies e da numerosi altri ricercatori di sicurezza. Gli esperti affermano che NotPetya opera come un ransomware, ma, uno attento studio del codice sorgente rivela che gli utenti non potranno mai recuperare i file. Ma questo non ha nulla a che fare col fatto che un provider tedesco ha chiuso l'account email dell'operatore di NotPetya: infatti,
anche se le vittime fossero in grado di contattare l'autore di NotPetya, non potrebbero comunque recuperare i file.

Gli account mail di contatto degli autori di NotPetya sono stati chiusi
Questo è dovuto al fatto che NotPetya genera un ID dell'infezione random per ogni computer. I ransomware che, come NotPetya, non usano un server C&C, usano l'ID dell'infezione per raccogliere informazioni su ogni vittima e per salvare la chiave di decriptazione. Ma NotPetya genera dati random per un particolare ID, cosa che rende la decriptazione impossibile. Pagare o non pagare quindi non fa alcuna differenza. Alcuni ricercatori fanno notare che, stando così le cose, la motivazione di NotPetya non è economica: questo malware è pensato a fini distruttivi. 

Il file MFT è irrecuperabile
Dal report di Comae si evince che NotPetya esegue una sequenza di operazioni difettose che rendono impossibile il recupero dell'originale MFT (Master File Table), che NotPetya cripta appena avvia l'infezione. L'MFT gestisce la posizione dei file sul disco rigido: finché questo file rimane criptato, è impossibile sapere dove si trova qualsiasi file nel computer infetto. 

Se la prima versione di Petya modificava il disco in una maniera tale da rendere reversibili i cambiamenti, le modifiche eseguite da questo malware sono irreversibili.

Una cyber-arma?
Per i ricercatori di sicurezza è un dato di fatto. Non essendo possibile il meccanismo criptazione-ricatto-riscatto-decriptazione, in questo caso la finalità non può che essere, come nei fatti è, il sabotaggio, più veloce e capillare possibile. Infatti NotPetya ha dimostrato una velocità di diffusione impressionante e fatto molti danni: quella del ransomware potrebbe essere una mera copertura. Il punto essenziale da avere chiaro è che NotPetya non è un disk wiper di per sé: infatti non cancella nessun file. Lo diventa però nei fatti, dato che rende i file inutilizzabili prima criptandoli (quindi rendendoli inaccessibili) poi buttando via la chiave di criptazione. 


I wiper nascosti nei malware sono sempre più comuni
Lo affermiamo perché, anzitutto, non è la prima volta che succede, anzi ormai è una tendenza. Shamoon e KillDisk sono due esempi piuttosto recenti (Inverno 2016-2017) di ransomware che vedevano anche una componente di disk wiping. Ma ci sono anche stati casi di malware per aziende che implementavano funzioni di disk wiping. 

Alla luce di tutto questo, considerando che la maggior parte delle infezioni sono avvenute in Ucraina, è lecito pensare che NotPetya sia una cyber-arma puntata contro l'Ucraina per motivi politici: non sarebbe la prima volta (ricordiamo i casi Stuxnet e BlackEnergy). 

Nessun commento:

Posta un commento