Come funziona NotPetya, il nuovo ransomware che sta criptando migliaia di computer

NotPetya è di sicuro uno dei malware più avanzati mai realizzati: oltre a bloccare il computer, ruba anche i dati personali.

Ma c’è un modo per prevenire l’infezione

 

Così ci risiamo. Un altro “cyberattacco” (ma è più corretto parlare di “minaccia informatica”) sta mettendo in ginocchio una moltitudine di sistemi informatici, sulla scia di quanto accaduto, qualche settimana fa, con Wannacry. Ecco, partiamo da qui, da questa similitudine, che c’è anche dal punto di vista tecnico. Petya, questo il nome del nuovo malware che tanti danni sta facendo, è un ransomware, cioè un software nocivo che, una volta installato in un computer, lo blocca chiedendo un riscatto per farlo tornare al pieno delle sue funzioni.

Come Wannacry, anche Petya è dotato della capacità di infettare un sistema aprendo l’allegato di una email, ma anche di propagarsi via Internet, andando a caccia di computer dotati della famigerata vulnerabilità SMBv1 di Windows. Tante similitudini, dunque, ma anche alcune differenze sostanziali che rendono Petya un gioiello ingegneristico ancora più efficiente di Wannacry. Cerchiamo di capire di cosa si tratta.

Innanzitutto, al momento i ricercatori non sono sicuri che il ransomware sia proprio Petya
Il modus operandi è simile, ma la sua analisi approfondita (ci vorrà qualche giorno) ha rivelato che si tratta di una sua variante, al punto che qualcuno azzarda il nome di NotPetya.

La sua attivazione pare aver inizio al solito modo. Si riceve un’email contenente il vettore d’attacco, cioè un allegato che, se aperto, lancia l’esecuzione di un dropper. In buona sostanza, l’allegato è un normale documento (nel caso di Petya ce ne sono di diversi tipi e includono doc, .xls, .ppt e .pdf, ma questa variante pare mirare più a file necessari a programmatori, e quindi potrebbe avere come obiettivo primario le software house) che può essere aperto e visualizzato dall’utente in modo assolutamente normale. Al contempo, però, di nascosto, viene installato e avviato anche un dropper, cioè un piccolo software che si occupa di scaricare da Internet il malware vero e proprio. Il motivo di questo doppio passaggio è semplice: il dropper è un file piccolo e facilmente integrabile in un file innocuo. Il malware, invece, è piuttosto grosso e darebbe troppo nell’occhio.

Nel momento in cui scrivo, pare che sia stata individuata l’origine dell’infezione. Si tratterebbe di un software gestionale sviluppato dall’ucraina M.E.Doc. In particolare, l’infezione avrebbe colpito il file responsabile dell’aggiornamento del software.

Il dropper di Petya non si occupa, comunque, “solo” del download del ransomware. Appena avviato, genera un codice, ossia la chiave crittografica, che viene a sua volta crittografata. Poi sposta il Master Boot Record (MBR) del computer, vale a dire la zona del disco fisso preposta all’avvio del sistema operativo, in una zona di memoria diversa, sostituendolo col malware vero e proprio.

Una volta che Petya è installato nel computer, avvia diverse attività malevole, su cui si sta ancora indagando. Per esempio, Check Point Software Technologies sostiene che nel funzionamento sia coinvolto Loki-Bot, un altro malware.

In questo caso, dunque, Petya conterrebbe al suo interno parte delle istruzioni di un secondo software malevolo

Un indizio importante, perché Loki-Bot è nato in Russia un paio di anni fa e viene venduto per rubare credenziali di accesso, e numeri di conti in Bitcoin, dal computer che infetta. In particolare, intercettando le informazioni da browser, trasferimenti ftp, email e software per le partite a poker online.

Se, dunque, la notizia fosse confermata, la variante di Petya non si limiterebbe a un comportamento da ransomware ma sarebbe anche in grado di defraudare l’utente dei suoi dati. Non solo: l’integrazione di Loki-Bot, o uno strumento simile, può essere certo fatta utilizzando il malware russo così com’è, ma è probabile che, in questo caso, si sia utilizzato direttamente il suo codice sorgente, cioè le istruzioni più intime che lo compongono. Il che renderebbe ipotizzabile che gli autori di Loki-Bot abbiano qualcosa a che fare anche con questa variante di Petya, anche se è una considerazione da prendere con delle pinze belle grosse. Di certo, si sa che la prima versione di Petya fu sviluppata come cyber-arma e venduta tramite forum e siti specializzati dal gruppo Janus Cybercrime Solutions.

Detto questo, la funzione principale di Petya, e della sua variante, rimane quella tipica dei ransomware, che è quella crittografica. Petya, cioè, una volta installato si occupa di applicare un codice che crittografa i dati del computer infetto, rendendolo inservibile al legittimo proprietario salvo pagare un obolo di circa 300 dollari per il riscatto (in Bitcoin). La principale differenza tra Petya e altri ransomware sta proprio qui. Anziché prendersi la briga di crittografare file per file, come per esempio fa Wannacry, Petya punta direttamente al bootloader del computer, cioè il software che si occupa di trasferire i dati di avvio di un sistema operativo dal disco fisso alla memoria RAM.

È la differenza che corre tra chiudere a chiave tutte le porte interne di una casa, e decidere invece di chiudere la porta d’ingresso
Più veloce, più efficiente, più risolutivo: per farlo, Petya si basa sulla chiave generata dal dropper, applicandola non solo al Master Boot Record originale del computer, ma anche alla Master File Table. Si tratta di un’enorme tabella che, in soldoni, contiene i riferimenti a tutti i file del computer. In pratica, il computer continua ad avere al suo interno i file, ma con la Master File Table inutilizzabile non sa dove si trovano e nemmeno le caratteristiche necessarie per gestirli. Come un libro di milioni di pagine privato dell’indice e dei numeri di pagina, con l’aggravante che non è un libro che si può leggere in sequenza.

Ora, visto che Petya si è infilato pure nel Master Boot Record, ha la possibilità di avviare la famigerata schermata con cui chiedere il riscatto alla vittima. Riavvia il computer che, a questo punto, anziché caricare Windows, mostra dapprima un messaggio simile al comando Checkdisk del DOS, simulando una sorta di controllo durante il quale, invece, sta eseguendo le operazioni crittografiche. Terminato il riavvio, il malware è attivo al 100%. E mostra il messaggio di riscatto.

Ooops, your important files are encrypted

A laptop displays a message after being infected by a ransomware as part of a worldwide cyberattack on June 27, 2017 in Geldrop. The unprecedented global ransomware cyberattack has hit more than 200,000 victims in more than 150 countries, Europol executive director Rob Wainwright said May 14, 2017. Britain's state-run National Health Service was affected by the attack. / AFP PHOTO / ANP / Rob Engelaar / Netherlands OUT (Photo credit should read ROB ENGELAAR/AFP/Getty Images)

“If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your files, but don’t waste your time. Nobody can recover your files without our decryption service”. Eccetera, eccetera, eccetera.

 

La nuova variante di Petya, tuttavia, non si limita a questo: come Wannacry, è dotata di una funzione da worm. In pratica, sfrutta la vulnerabilità CVE-2017-0144, tramite un piccolo software (exploit) chiamato Eternal Blue e trafugato alla National Security Agency (NSA) dal gruppo di hacker Shadow Brokers il 14 Aprile 2017. Grazie a questo exploit, il malware è in grado di propagarsi senza più bisogno del trucchetto dell’allegato, semplicemente scorrazzando dapprima per la rete interna a cui è eventualmente collegato il computer infetto, e quindi diffondendosi via Internet. Come se non bastasse, questa variante è capace di “lateral movement” (movimento laterale), sfruttando il Windows Management Instrumentation Command-line (WMIC), uno strumento creato da Microsoft per la gestione dei sistemi da remoto e già presente in Windows. Oltre a WMIC, NotPetya pare utilizzare un altro strumento, alternativo a Telnet, dotato di capacità di gestione di computer da remoto: si tratta di PSEXEC. Si è scoperto, inoltre, che WMIC e PSEXEC sono utilizzati anche per diffondere le credenziali rubate dal sistema.

Questa capacità multipla di diffondersi, spiega anche l’elevato ritmo di diffusione del malware. Che, tra le altre caratteristiche, ha la capacità di diversificare il suo comportamento a seconda che si trovi in un normale computer o in un Domain Controller, cioè il computer responsabile di una rete Windows. Nel secondo caso, NotPetya scandaglia la rete gestita dal DC e cercare di copiarsi e attivarsi anche negli altri computer. A quel punto, il ciclo si ripete.

NotPetya è di sicuro uno dei malware più avanzati mai realizzati

 

Come tutti i software sviluppati da esseri umani, però, non è esente da difetti di progettazione: il ricercatore Amit Serper, per esempio, ha trovato un metodo con cui prevenire l’infezione. In buona sostanza, NotPetya, appena installato cerca nel sistema infetto un file specifico e, se lo trova, interrompe la sua esecuzione. Il file, ovviamente, NON è presente di solito nei computer, quindi creandolo è possibile “vaccinare” un sistema. Il trucco consiste nel creare un file di nome perfc (senza estensione) nella cartella c:\Windows, e impostarlo come in sola lettura. Per sicurezza, si consiglia di creare, nello stesso modo e nella medesima cartella, anche i file perfc.dat e perfc.dll. Nel caso non foste esperti, l’esperto Lawrence Abrams ha creato un file “batch” che, una volta scaricato ed eseguito, si occupa automaticamente della cosa.

Al momento, oltre ai soliti consigli per prevenire un’infezione di questo tipo in sintesi: aggiornare Windows e aggiornare il software antivirus), si tratta del metodo migliore per tenere NotPetya lontano dal vostro computer.

Fonte: www.wired.it