Cybersecurity: Petya Ransomware Hacks globale con il codice “Eternal Blue”

27 Giugno 2017

Cybersecurity: Petya Ransomware Hacks globale con il codice “Eternal Blue”

Il virus ransomware comprende il codice denominato “Eternal Blue”, forse rubato all’Agenzia Nazionale di Sicurezza degli Stati Uniti (NSA) ed è stato utilizzato anche nell’attacco ransomware del mese scorso, denominato “WannaCry”.

Un massiccio attacco ransomware (Petya Ransomware) sta causando il caos in aeroporti, banche, uffici governativi e molte altre istituzioni ed aziende private: Reuters riporta di disagi soprattutto in Russia e Ucraina ma — secondo le informazioni rilasciate dal British National Cyber Security Center, che sta monitorando la situazione — sono già stati segnalati casi nel Regno Unito, negli Usa, in Norvegia, in Danimarca, in Spagna e in India. Lo stesso centro di sicurezza britannico parla di un attacco ransomware di portata globale, è quindi lecito attendersi che nelle prossime ore si allungherà la lista delle organizzazioni colpite e quella dei paesi colpiti.

Finora diverse aziende hanno segnalato i problemi che stanno vivendo, tra cui il gigante dei trasporti AP Moller-Maersk, con sede a Copenhagen, e il primo produttore russo di petrolio, Rosneft.

Anche l’agenzia stampa ucraina Unian parla di ransowmare, ipotizzando una nuova ondata di WannaCry, tesi solo in parte confermata da Group-Ib, azienda russa di sicurezza che ha identificato la minaccia in Petya, un tipo di malware che cripta l’intero hard drive, anziché ogni file singolarmente.

Il malware utilizzato, in realtà, è ancora indefinito: secondo gli analisti di Kaspersky Lab, ad esempio, i risultati preliminari suggeriscono che si tratti di un nuovo ransomware che non è mai stato visto prima: ecco perché è stato temporaneamente chiamato NotPetya.

Petna (l’attuale variante di Petya che si avvale di EternalBlue, lo stesso exploit di Stato impiegato per WannaCry) viene viene identificato come:

Win32.Trojan-Ransom.Petya.Ve
Trojan.Ransom.GoldenEye.B.
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen
UDS:DangerousObject.Multi.Generic (detected by Kaspersky Security Network)
PDM:Trojan.Win32.Generic (detected by the System Watcher feature)
PDM:Exploit.Win32.Generic (detected by the System Watcher feature)

Secondo Check Point il malware si sta diffondendo sfruttando le stesse vulnerabilità di WannaCry, con il coinvolgimento di Loki Bot per il furto di credenziali.

Secondo i dati in possesso nei laboratori di Kaspersky, circa 2.000 utenti sono stati attaccati finora, con i primi casi anche in Polonia, Francia, Germania e anche Italia. Di diverso avviso Trend Micro: “Al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco”, fa sapere in una nota Gastone Nencini, Country Manager Trend Micro Italia. “Le aziende che utilizzano la nostra tecnologia XGen sono al sicuro. Siamo pronti per rispondere al meglio a questo attacco”.

Dalle informazioni, ancora caotiche, sembrerebbe un attacco congiunto e orchestrato: è presto quindi per essere più precisi sull’entità delle minaccee degli obiettivi. Il sito Kromadske aggiorna periodicamente la situazione in Ucraina, citando spegnimenti dei server preventivi in molti uffici pubblici.

A differenza di Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash.

Il ransomware prende di mira file con le seguenti estensioni:

.3ds .7z .accdb. ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk
.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt
.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.
xlsx .xvd .zip

Come funziona un virus CryptoLocker

CryptoLocker è un trojan comparso nel tardo 2013, perfezionato poi nel maggio 2017. Questo virus è una forma di ransomware infettante i sistemi Windows e che consiste nel criptare i dati della vittima, richiedendo un pagamento per la decriptazione. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato il riscatto ma di non aver visto i propri file decriptati.

Funzionamento dei CryptoLocker

CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.

Al primo avvio, il software si installa nella cartella Documents and Settings (o “Utenti”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Prevenzione dai virus CryptoLocker

Uno dei sistemi di prevenzione più efficaci è impedire l’esecuzione di programmi all’interno della cartella AppData. Questa cartella è presente in tutti i sistemi e la sua posizione dipende dalla versione di Windows utilizzata, può trovarsi dentro Documents and Settings (o “Utenti“, nei sistemi operativi Windows più recenti). Per effettuare questa modifica è necessario aggiungere le restrizioni nei Criteri di sicurezza locali presenti nel pannello di controllo. Ad esempio, per i sistemi Windows Vista o superiori si può utilizzare il seguente elenco di regole:

Path	Security Level	Suggested Description
%AppData%\*.exe	Disallowed	Previene l’esecuzione dei programmi in AppData*
%AppData%\\.exe	Disallowed	Previene l’esecuzione dei programmi nelle sottocartelle di AppData
%LocalAppData%\Temp\Rar\.exe	Disallowed	Previene l’esecuzione di programmi estratti automaticamente da file compressi di tipo Rar scaricati tramite e-mail
%LocalAppData%\Temp\7z\.exe	Disallowed	Previene l’esecuzione di programmi estratti automaticamente da file compressi di tipo 7z scaricati tramite e-mail
%LocalAppData%\Temp\wz\.exe	Disallowed	Previene l’esecuzione di programmi estratti automaticamente da file compressi di tipo wz scaricati tramite e-mail
%LocalAppData%\Temp\.zip\.exe	Disallowed	Previene l’esecuzione di programmi estratti automaticamente da file compressi di tipo zip scaricati tramite e-mail

Inoltre, con lo scopo di prevenire questo virus, valgono le normali regole di prevenzione per Malware, ad esempio:

Effettuare backup periodici su dischi esterni.
Evitare l’utilizzo di cartelle condivise in reti pubbliche.
Visualizzare l’estensione dei file all’interno di Esplora Risorse.
Verificare l’host dei link prima del click dal browser.
Non eseguire allegati di e-mail sospette.
Installate tutti gli aggiornamenti di Windows. L’aggiornamento che risolve l’errore sfruttato da EternalBlue è particolarmente importante.