petya not petya

Petya e NotPetya (o Goldeneye): tutto quello che devi sapere

Il ransomware sconfitto che ha causato danni per oltre 10 miliardi di dollari.

Se siete tecnici informatici o semplicemente lettori di quotidiani ricorderete sicuramente alcuni degli episodi legati all’infezione Petya di qualche anno fa. Precisamente parliamo di un virus informatico che insieme a WannaCry ha sconvolto il mondo dell’informatica nel 2017 prendendo di mira paesi come l’Italia, la Russia e l’Ucraina.

A distanza di oltre 5 anni ci ritroviamo oggi per tirare le somme del suo operato e di come il mondo della sicurezza informatica sia irrimediabilmente cambiato.

Siamo pronti, partiamo.

Indice articolo Petya ransomware

Petya, di cosa si tratta?

Finalmente ci siamo, ecco dunque la definizione di virus Petya: di cosa si tratta e perché questo virus riesce ad infettare così tanti computer?

Petya ransomware fa il suo esordio nel 2016 per poi diffondersi ad ampio spettro nel 2017.

Fin dal principio i suoi ideatori lo programmano come virus del riscatto alias ransomware: questo perché Petya come tutti i ransomware della sua categoria una volta installato all’interno di un dispositivo inizia a crittografare tutti i file presenti rendendoli illeggibili e inaccessibili a chiunque.

Ma non è sufficiente, a differenza di molti altri crypto virus, Petya non solo rende i file non leggibili e richiede un riscatto da 0,9 bitcoin per poterli restituire al legittimo proprietario, rende anche difficile avvio di Windows e inaccessibile qualsiasi area di memoria che contenga dei file (perfettamente in grado di bloccare la tabella MFT del filesystem NTFS).

Un vero dilemma per qualsiasi specialista in sicurezza informatica, o almeno fino a qualche anno fa.

La breve storia di Petya

Lo scoppio del fenomeno Petya si deve all’azione del gruppo Janus Cybercrime Solutions. Nel 2016 il malware wiper travestito di fatto da ransomware fa capolino colpendo duramente il territorio dell’Ucraina: qui oltre 12.000 macchine sono state infettate secondo la definizione di petya virus Microsoft. Tuttavia il malwaretocca oltre 150 paesi tra cui c’è proprio l’Italia.

Nel 2017 l’azione del virus si è intensificata sotto una nuova forma del malware rinominata NotPetya dagli stessi informatici.
I creatori del virus hanno più volte offerto la chiave di decrittazione Petya per la modica cifra di 100 Bitcoin: nessuno si è mai fatto avanti.

Ma perché il virus ha riscontrato tutto questo successo?
Proviamo a spiegarvelo noi.

Come ci infetta il virus?

Come tutti i ransomware attualmente esistenti, Petya non arriva per caso sui computer delle sue vittime.
Il vettore principale di questa infezione era in un primo periodo l’e-mail: avete capito bene. Petya infettava le sue vittime tramite la ricezione di e-mail di phishing che inevitabilmente contenevano un allegato infetto. L’allegato era quasi sempre un file ZIP (ovvero una cartella contenente più file al suo interno) che dava inizio all’infezione. Una volta scaricato il contenuto, l’allegato si rivelava essere un file .exe che dava il via all’installazione del virus.

In un secondo momento, il virus ha iniziato a sfruttare una vulnerabilità Microsoft (CVE-2017-0144) insita proprio nel sistema di Server Message Block.
Petya infatti, si dimostra fin da subito un ransomware diverso da tutti i suoi lontani parenti e questo perché dal momento che il virus si installa sul dispositivo inizia a cifrare i file hard disk e in gergo tecnico, fa qualcosa che nessun malware aveva mai fatto fino ad ora: cifra anche il Master Boot Record (MBR) rendendo praticamente inaccessibile anche il computer stesso.

Non contento, il malware in questione si propaga nella rete aziendale tramite una tecnica che in informatica si definisce si chiama movimento laterale, cioè si diffonde ad altre macchine nella stessa rete. Date le capacità di questo virus di spostarsi lateralmente all’interno della rete, Petya si diffonde anche perché:

  • riutilizza sessioni attive esistenti
  • ruba credenziali
  • utilizza sistemi di condivisioni file per trasferire il file dannoso su più dispositivi
  • sfrutta vulnerabilità esistenti per eseguire il payload.

Ecco come e quando sbarca Petya in Italia: i dettagli

Petya nel 2017 arriva anche in Italia con una nuova identità: NotPetya.

Le statistiche di Eset raccolte nel medesimo anno indicarono come il ransomware fosse largamente diffusi sì in Ucraina ma anche in Italia (il 10% delle vittime risiede proprio nel nostro paese).

esempio payload petya

Da Petya a NotPetya: l’evoluzione ransomware

Se dovessimo condensare le differenze di Petya e NotPetya in poche righe potremmo dire senza dubbio che il secondo è l’evoluzione del primo. NotPetya (o soprannominato da alcuni Nyetya) nasce a giugno 2017 e adotta alcuni comportamenti differenti rispetto al suo predecessore: il malware NotPetya utilizza un metodo di crittografia differente ma soprattutto si diffonde in maniera differente.

NotPetya a differenza dell’originale si diffonde sfruttando una vulnerabilità di pacchetto di aggiornamenti di un software di contabilità usato dall’80% delle aziende in Ucraina, da lì deriva la sua diffusione su larga scala: il virus si è propagato velocemente tra le aziende proprio per questo motivo. NotPetya sfrutta la falla di EternalBlue (la stessa utilizzata anche da WannaCry)

Secondo indiscrezioni, NotPetya era talmente pericoloso che nel caso in cui riusciva a intrufolarsi nella rete locale aziendale e se identificava un nodo admin, era capace di rubare le credenziali e dati amministrativi. Il pericolo dei pericoli: non solo vengono criptati i dati e viene richiesto il riscatto, NotPetya era in grado di defraudare l’utente dei suoi dati.

Entrambi i virus restano due ransomware della peggior specie, di quelli che permettono ad una schermata blu/rossa di comparire sul pc con la scritta:

Ooops, your important files are encrypted

Quali danni ha provocato il ransomware nel 2017

Petya per diverso tempo è stato associato a WannaCry per essere stati entrambi i malware simbolo del crimine informatico del 2017.

NotPetya/Petya nelle sue numerosi varianti ha colpito indistintamente circa 15o paesi in tutto il mondo appartenenti a diversi settori: aziende energetiche, trasporti pubblici, siti governativi e numerose banche.

Istruzioni d’uso in caso di attacco Petya

Se siete nel bel mezzo di un attacco ransomware qualsiasi o nello specifico Petya esiste solo una cosa da fare: ridurre al minimo i danni.

Non esiste alcuna formula magica per rimuovere un attacco ransomware in corso. Purtroppo la chiave di criptazione dei dati utilizzata da questi software maligni nel pratico è impossibile da decifrare e motivo per il quale la sola cosa da fare appena ci si rende conto di essere stati attaccati da ransomware è staccare la spina di rete e la spina di corrente che alimenta il pc. Ci raccomandiamo, fatelo il prima possibile: non soffermatevi a cercare di capire come risolvere la questione.

Contattare un’azienda specializzata in sicurezza informatica è la soluzione corretta per sapere come muoversi e verificare lo stato dei danni.

Sappiate per tempo che una volta crittografati, non c’è modo di riavere i file: nemmeno pagando il riscatto al ransomware.

petya virus

Proteggersi dal virus: cosa fare per tenerlo lontano

Consigli cyber security contro Petya

Se nel 2017 molte aziende avessero seguito alcuni di questi consigli…
Purtroppo l’infezione si sarebbe diffusa ugualmente: oggi parliamo di Petya riferendoci ad una minaccia informatica che riguarda il passato: il ransomware del 2017 ha lasciato libero il passaggio ad altre e letali infezioni informatiche. Tuttavia, da quello che è accaduto possiamo imparare molto, ad esempio:

come sempre mantenere elevata l’attenziona tutto quello che riceviamo per posta elettronica. I malware nel 2020 si diffondo nel 94% dei casi grazie all’apertura di e-mail infette ragior per cui proteggere le proprie caselle email è sempre la miglior soluzione da implementare in primis.
La migliore misura di sicurezza che si possa adottare è innanzitutto di riuscire a fermare Petya prima che penetri nella rete di un’azienda.

Indubbiamente, mantenere i sistemi operativi (dei dispositivi ma anche dei software) resta la miglior scelta da perseguire per prevenire l’azione dei ransomware in generale. Mantenere sempre una copia dei dati (backup) aggiornata secondo le diverse soluzioni presenti sul mercato e affidate per quanto possibile, la vostra sicurezza informatica interna ad un’azienda seria.

La minaccia ransomware può essere contrastata solo da professionisti di settore.

Onorato Informatica

Cybersecurity da oltre 10 anni

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.