Petya e NotPetya: tutto quello che devi sapere!

Se siete tecnici informatici o semplicemente lettori di quotidiani ricorderete sicuramente alcuni degli episodi legati all’infezione Petya di qualche anno fa. Precisamente parliamo di un virus informatico che insieme a WannaCry ha sconvolto il mondo dell’informatica nel 2017 prendendo di mira paesi come l’Italia, la Russia e l’Ucraina.

A distanza di oltre 5 anni ci ritroviamo oggi per tirare le somme del suo operato e di come il mondo della sicurezza informatica sia irrimediabilmente cambiato.

Siamo pronti, partiamo.

1. Petya, cos’è e come nasce?

2. Come ci attacca?

3. Petya in Italia: i dati degli attacchi e delle vittime

4. Evoluzione Petya: NotPetya ransomware

5. Petya o NotPetya: confronto tra ransomware

6. Quali danni ha provocato il virus?

7. Cose da fare se siete stati attaccati da Petya

8. Proteggersi dal virus NotPetya e Petya

9. Consigli per navigare su Internet senza incontrare ransomware

Finalmente ci siamo, ecco dunque la definizione di virus Petya: di cosa si tratta e perché questo virus riesce ad infettare così tanti computer?

Petya ransomware fa il suo esordio nel 2016 per poi diffondersi ad ampio spettro nel 2017.

Fin dal principio i suoi ideatori lo programmano come virus del riscatto alias ransomware: questo perché Petya come tutti i ransomware della sua categoria una volta installato all’interno di un dispositivo inizia a crittografare tutti i file presenti rendendoli illeggibili e inaccessibili a chiunque.

Ma non è sufficiente, a differenza di molti altri crypto virus, Petya non solo rende i file non leggibili e richiede un riscatto da 0,9 bitcoin per poterli restituire al legittimo proprietario, rende anche difficile avvio di Windows e inaccessibile qualsiasi area di memoria che contenga dei file (perfettamente in grado di bloccare la tabella MFT del filesystem NTFS).

Un vero dilemma per qualsiasi specialista in sicurezza informatica, o almeno fino a qualche anno fa.

Lo scoppio del fenomeno Petya si deve all’azione del gruppo Janus Cybercrime Solutions. Nel 2016 il malware wiper travestito di fatto da ransomware fa capolino colpendo duramente il territorio dell’Ucraina: qui oltre 12.000 macchine sono state infettate secondo la definizione di petya virus Microsoft. Tuttavia il malwaretocca oltre 150 paesi tra cui c’è proprio l’Italia.

Nel 2017 l’azione del virus si è intensificata sotto una nuova forma del malware rinominata NotPetya dagli stessi informatici.
I creatori del virus hanno più volte offerto la chiave di decrittazione Petya per la modica cifra di 100 Bitcoin: nessuno si è mai fatto avanti.

Ma perché il virus ha riscontrato tutto questo successo?
Proviamo a spiegarvelo noi.

Come tutti i ransomware attualmente esistenti, Petya non arriva per caso sui computer delle sue vittime.
Il vettore principale di questa infezione era in un primo periodo l’e-mail: avete capito bene. Petya infettava le sue vittime tramite la ricezione di e-mail di phishing che inevitabilmente contenevano un allegato infetto. L’allegato era quasi sempre un file ZIP (ovvero una cartella contenente più file al suo interno) che dava inizio all’infezione. Una volta scaricato il contenuto, l’allegato si rivelava essere un file .exe che dava il via all’installazione del virus.

In un secondo momento, il virus ha iniziato a sfruttare una vulnerabilità Microsoft (CVE-2017-0144) insita proprio nel sistema di Server Message Block.
Petya infatti, si dimostra fin da subito un ransomware diverso da tutti i suoi lontani parenti e questo perché dal momento che il virus si installa sul dispositivo inizia a cifrare i file hard disk e in gergo tecnico, fa qualcosa che nessun malware aveva mai fatto fino ad ora: cifra anche il Master Boot Record (MBR) rendendo praticamente inaccessibile anche il computer stesso.

Non contento, il malware in questione si propaga nella rete aziendale tramite una tecnica che in informatica si definisce si chiama movimento laterale, cioè si diffonde ad altre macchine nella stessa rete. Date le capacità di questo virus di spostarsi lateralmente all’interno della rete, Petya si diffonde anche perché:

• riutilizza sessioni attive esistenti
• ruba credenziali
• utilizza sistemi di condivisioni file per trasferire il file dannoso su più dispositivi
• sfrutta vulnerabilità esistenti per eseguire il payload.

Petya nel 2017 arriva anche in Italia con una nuova identità: NotPetya.

Le statistiche di Eset raccolte nel medesimo anno indicarono come il ransomware fosse largamente diffusi sì in Ucraina ma anche in Italia (il 10% delle vittime risiede proprio nel nostro paese).

Se dovessimo condensare le differenze di Petya e NotPetya in poche righe potremmo dire senza dubbio che il secondo è l’evoluzione del primo. NotPetya (o soprannominato da alcuni Nyetya) nasce a giugno 2017 e adotta alcuni comportamenti differenti rispetto al suo predecessore: il malware NotPetya utilizza un metodo di crittografia differente ma soprattutto si diffonde in maniera differente.

NotPetya a differenza dell’originale si diffonde sfruttando una vulnerabilità di pacchetto di aggiornamenti di un software di contabilità usato dall’80% delle aziende in Ucraina, da lì deriva la sua diffusione su larga scala: il virus si è propagato velocemente tra le aziende proprio per questo motivo. NotPetya sfrutta la falla di EternalBlue (la stessa utilizzata anche da WannaCry)

Secondo indiscrezioni, NotPetya era talmente pericoloso che nel caso in cui riusciva a intrufolarsi nella rete locale aziendale e se identificava un nodo admin, era capace di rubare le credenziali e dati amministrativi. Il pericolo dei pericoli: non solo vengono criptati i dati e viene richiesto il riscatto, NotPetya era in grado di defraudare l’utente dei suoi dati.

Entrambi i virus restano due ransomware della peggior specie, di quelli che permettono ad una schermata blu/rossa di comparire sul pc con la scritta:

Ooops, your important files are encrypted

Petya per diverso tempo è stato associato a WannaCry per essere stati entrambi i malware simbolo del crimine informatico del 2017.

NotPetya/Petya nelle sue numerosi varianti ha colpito indistintamente circa 15o paesi in tutto il mondo appartenenti a diversi settori: aziende energetiche, trasporti pubblici, siti governativi e numerose banche.

Se siete nel bel mezzo di un attacco ransomware qualsiasi o nello specifico Petya esiste solo una cosa da fare: ridurre al minimo i danni.

Non esiste alcuna formula magica per rimuovere un attacco ransomware in corso. Purtroppo la chiave di criptazione dei dati utilizzata da questi software maligni nel pratico è impossibile da decifrare e motivo per il quale la sola cosa da fare appena ci si rende conto di essere stati attaccati da ransomware è staccare la spina di rete e la spina di corrente che alimenta il pc. Ci raccomandiamo, fatelo il prima possibile: non soffermatevi a cercare di capire come risolvere la questione.

Contattare un’azienda specializzata in sicurezza informatica è la soluzione corretta per sapere come muoversi e verificare lo stato dei danni.

Sappiate per tempo che una volta crittografati, non c’è modo di riavere i file: nemmeno pagando il riscatto al ransomware.

Se nel 2017 molte aziende avessero seguito alcuni di questi consigli…
Purtroppo l’infezione si sarebbe diffusa ugualmente: oggi parliamo di Petya riferendoci ad una minaccia informatica che riguarda il passato: il ransomware del 2017 ha lasciato libero il passaggio ad altre e letali infezioni informatiche. Tuttavia, da quello che è accaduto possiamo imparare molto, ad esempio:

come sempre mantenere elevata l’attenziona tutto quello che riceviamo per posta elettronica. I malware nel 2020 si diffondo nel 94% dei casi grazie all’apertura di e-mail infette ragior per cui proteggere le proprie caselle email è sempre la miglior soluzione da implementare in primis.
La migliore misura di sicurezza che si possa adottare è innanzitutto di riuscire a fermare Petya prima che penetri nella rete di un’azienda.

Indubbiamente, mantenere i sistemi operativi (dei dispositivi ma anche dei software) resta la miglior scelta da perseguire per prevenire l’azione dei ransomware in generale. Mantenere sempre una copia dei dati (backup) aggiornata secondo le diverse soluzioni presenti sul mercato e affidate per quanto possibile, la vostra sicurezza informatica interna ad un’azienda seria.

La minaccia ransomware può essere contrastata solo da professionisti di settore.

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.