ransomware – European Affairs Magazine

NotPetya, un altro attacco ransomware?

7 Luglio 2017 INNOVAZIONE/Report di

Durante la giornata del 27 giugno è iniziata la diffusione di un nuovo ransomware, variante di Petya, malware già diffuso in passato, e ribattezzato Petrwrap o anche NotPetya e Nyetya. Alla base del rapido contagio, ancora una volta ci sarebbe il protocollo di rete SMB sfruttato dall’exploit Eternalblue, salito alle cronache perché sviluppato in ambienti NSA ma poi diffuso globalmente in un’azione di ricatto da parte del gruppo ShadowBrokers (che intanto sono i protagonisti di alcune news thehackernews.com/2017/06/shadowbrokers-nsa-hacker.html) , tanto da fungere da base per il massiccio attacco ransomware iniziato il 12 maggio e denominato Wannacry (per approfondimenti Wannacry1, Wannacry2).

Una novità di NotPetya è, però, il suo lavoro “orizzontale”: una volta contagiata la prima macchina attraverso un allegato e-mail o l’aggiornamento del software MeDoc, applicazione contabile sviluppata e diffusa in Ucraina, il ransomware utilizza i tool di serie Windows PSEXEC e WMIC che permettono la propagazione attraverso le reti interne, rendendo i terminali di un’azienda (connessi spesso a reti aziendali) particolarmente a rischio. Per ora questo sembra il canale principale di diffusione del malware.

Inoltre NotPetya ha un comando standardizzato per criptare il Master File Table, una tabella strutturata in blocchi che contiene gli attributi di tutti i file del volume, inclusi i metadati, e rende il MBR, cioè l’insieme dei primi comandi del PC all’avvio, ineseguibile.

Come tutti i ransomware, anche NotPetya chiede un riscatto, generalmente di 300$, da versare sul portafoglio 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX, su cui ad oggi sono stati versati meno di 10000 euro. Dopo il pagamento, l’utente deve inviare una mail con il proprio ID Bitcoin e la propria chiave di installazione fornita dal malware ad uno tra gli indirizzi qui indicati per ricevere la propria chiave di decriptazione:

wowsmith123456@posteo.net

iva76y3pr@outlook.com

carmellar4hegp@outlook.com

amanda44i8sq@outlook.com

gabrielai59bjg@outlook.com

christagcimrl@outlook.com

amparoy982wa@outlook.com

rachael052bx@outlook.com

sybilm0gdwc@outlook.com

christian.malcharzik@gmail.com

Alcuni degli indirizzi sono stati disabilitati dai provider poco dopo l’inizio dell’attacco rendendo de facto impossibile la decrittazione. Per questo si consiglia a chi avesse ancora il proprio terminale encrypted di non pagare il riscatto ma di aspettare che venga diffuso un valido decryptor.

Per le macchine non ancora infettate si suggerisce il local killswitch condiviso da molti esperti: creare il file perfc (per precauzione anche perfc.dll e perfc.dat) nella cartella C:\Windows e bloccarne la scrittura e l’esecuzione (sola lettura) disattivando il vettore WMIC. Parallelamente rimane necessario l’aggiornamento con la patch MS17-010 che impedisce l’exploit di SMB. Nel caso, però, in cui NotPetya dovesse essere riprogrammato tali soluzioni non sarebbero più efficaci. Intanto, sembrerebbe che uno degli autori, firmato Janus, del ransomware originale Petya abbia offerto attraverso un comunicato il proprio aiuto alle vittime di NotPetya.

Il contagio sembra essere iniziato in Ucraina e Russia, in cui numerose aziende elettriche, di trasporti (anche pubblici), aeroporti, la Banca Centrale Ucraina, i sistemi della centrale di Chernobyl, la Rosneft hanno subito attacchi. Il malware si è poi diffuso soprattutto in Danimarca, Olanda, India, Spagna, Francia, Regno Unito, USA. Ad oggi non si segnalano casi significativi di infezione in Italia.

Passando alla motivazione e alle responsabilità dell’attacco, questi sono i punti di maggiore interesse:

L’attività di ricatto è durata un tempo limitato e ha permesso ai detentori del portafoglio Bitcoin un guadagno risicato.
E’ stato utilizzato un solo portafoglio e, quasi esclusivamente, un solo indirizzo mail facendo sì che disattivata la mail tutta l’attività di money-collecting è stata interrotta.
MBR non viene sostituito ma sostanzialmente eliminato rendendo la macchina inutilizzabile.

Tutto ciò ha fatto supporre che NotPetya non fosse un attacco ransomware per il guadagno di denaro, ma un vero e proprio attacco distruttivo con obiettivi primari e secondari, false flag e una cortina fumogena entro cui operare.

L’Ucraina ha da subito colpevolizzato la Russia ma ad oggi nessuna pista è stata confermata né dalle autorità né dagli esperti. Il sentiment comune è che non si tratti più di semplice cyber-crime ma di un atto di forza distruttiva. Bisognerà capire quali tra gli innumerevoli terminali colpiti, fosse il target primario.

NOTPETYA UPDATE: Continuano gli aggiornamenti sul vasto attacco malware denominato NotPetya iniziato il 27 giugno. Si fa sempre più realistica l’ipotesi di un attacco distruttivo premeditato e non di un ransomware come inizialmente si era pensato. Un wiper, quindi, (un malware per la distruzione dei dischi) nascosto dalla cortina fumogena del ransomware simile a Wannacry. Di conseguenza, gli esperti si stanno interrogando su due principali elementi:

Responsabilità: l’ipotesi di wiping implica che non vi fosse un obiettivo né di guadagno diretto, né di sottrazione di dati come poteva essere in caso di espionage o identity-fraud. L’ipotesi state-sponsor sarebbe quella più plausibile secondo molti analisti. Identificare il responsabile permetterebbe con un’analisi top-down di capire quale fosse il bersaglio.
Obiettivi: il wiper ha colpito nel mucchio rendendo difficile la comprensione su chi fosse il primary target dell’attacco. E’ necessaria un’analisi orizzontale per poi risalire alla responsabilità con un approccio bottom-up.

In sede NATO, la risposta è stata dura. Le analisi svolte dal Centro d’Eccellenza di Cyber Defence a Tallin, hanno evidenziato che l’origine dell’attacco sia da ricercare in uno stato, o in un gruppo non statale sponsorizzato da uno stato. L’attacco, se provocasse danni paragonabili ad un attacco armato, si potrebbe considerare, quindi, come un atto di guerra a cui rispondere appellandosi all’articolo 5 del Trattato. Quello che invece ventila la NATO è un contrattacco cyber per sabotare lo stato sponsor di NotPetya. Infine, gli analisti sottolineano che gli autori di NotPetya non sarebbero gli stessi di Wannacry. Chiaramente, finché luce non verrà fatta sulle responsabilità del malware, nulla di questo accadrà.

In Ucraina, il servizio di sicurezza SBU ha avviato un’indagine congiunta con Europol, FBI e NCA (UK), denunciando l’atto come cyber-terrorismo, per la quale sono stati sequestrati i server di Me.Doc, l’applicazione di contabilità che si pensa abbia dato inizio al contagio. Da sottolineare che dopo l’attacco molti politici e figure di spicco dell’amministrazione ucraina avevano incolpato la Russia per l’attacco. A sostegno di questa tesi per ora ci sarebbe un indizio: la somiglianza con l’attacco “BlackEnergy” contro la rete elettrica ucraina attribuita e con l’attacco “Telebots” entrambi attribuiti ad hacker russi. Tutti e tre utilizzerebbero alcuni tool (KillDisk, Mimikatz, PsExec, WMIC) caratteristici.

Lorenzo Termine

Wannacry, il malware che ricatta il mondo

Nella mattina di venerdì 12 maggio, un esteso cyber-attacco ha colpito le infrastrutture informatiche di almeno 74 paesi (c’è chi parla di 99, si rimanda alla mappa interattiva sviluppata da Intel, https://goo.gl/g683We) tra cui, principalmente, Spagna, Regno Unito, Russia, Cina, Ucraina, India, Taiwan, Germania. L’operazione, ribattezzata “Wannacry” dall’estensione del file .wcry all’origine del contagio, comprende circa 100-150 mila (200 mila secondo altri) attacchi in tutto il mondo e rientra nella categoria dei ransomware, i “malware che criptano le informazioni all’interno di un sistema informatico richiedendo un riscatto per la decrittazione”. A differenza di altri ransomware però, Wannacry prevede un countdown per il pagamento. Se non versata entro 3 gg la cifra è raddoppiata, entro 7 gg i files distrutti irrevocabilmente.

Il decryptor di Wannacry che chiede il riscatto:

La cifra per il riscatto è rapidamente cresciuta passando dai 300 $ iniziali agli ultimi 600 $ da versare su portafogli Blockchain in Bitcoin. Questo aumento è avvenuto prima della data in cui la cifra si sarebbe raddoppiata (3 gg dall’infezione) e quindi, è probabile, che per alcuni il riscatto potrebbe diventare molto più alto (1200 $) dopo il 16 maggio.

Questi gli indirizzi dei portafogli principali su cui viene richiesto di effettuare il pagamento:

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Ad oggi, il denaro versato sui portafogli ammonta a poco più di 40 mila euro e sembra che non siano stati effettuati trasferimenti in uscita da Blockchain.

Qui di seguito l’elenco delle estensioni che il malware cripta:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Quindi si parla di:

Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
Less common and nation-specific office formats (.sxw, .odt, .hwp).
Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
Emails and email databases (.eml, .msg, .ost, .pst, .edb).
Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm).
Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
Virtual machine files (.vmx, .vmdk, .vdi).

L’origine dell’attacco è da ricercare in una vulnerabilità SMB di Windows (Eternal Blue), già ben nota alle cyber-companies globali (https://support.kaspersky.com/shadowbrokers), scoperta e studiata (tanto da programmare un malware capace di sfruttarla) da The Equation Group legato al NSA (sospettato di essere l’autore di Stuxnet), e, intanto, già risolta con una patch di Microsoft (MS17-010, 14 marzo 2017). Non è chiaro ancora come il gruppo sospettato dell’attacco, gli Shadowbrokers, si sia impadronito dell’hacking tool, se attraverso un leak dall’Intelligence americana oppure una disclosure e programmazione indipendente. Le vittime sono, quindi, tutte le macchine che montano versioni di Windows precedenti a Win10 e non hanno aggiornato il sistema con la patch già menzionata.

Per quanto riguarda i target dell’attacco, la notizia principale è la compromissione dei server del National Health System, il sistema sanitario britannico. In particolare, 24 ospedali e pronto soccorso britannici di diverse aree del paese (qui una lista http://news.sky.com/story/nhs-cyberattack-full-list-of-organisations-affected-so-far-10874493 ) sono stati attaccati. Si parla di contagio anche in altri paesi: Spagna (Telefonica, Iberdrola e Gas Natural), Russia (Ministero Interni, Megafon, le banche VTB e Sberbank, tra gli altri), India (Shaheen Airlines), Germania (Deutsche Bahn). In Italia, per ora, si ha notizia solo del caso dell’Università Bicocca. La Polizia Postale ha pubblicato un vademecum per contrastare il malware e non ha escluso che la situazione potrebbe ancora peggiorare.

Il contagio sarebbe terminato quando un ricercatore (twitter username: @MalwareTechBlog) in cyber-security dell’Inghilterra sud-ovest impiegato presso Kryptos Logic ha trovato nel codice di uno dei malware un collegamento con un dominio (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) utilizzato come killswitch dei malware. Si tratta quindi di un tecnico specializzato in botnet che analizzando il codice sorgente di uno degli eseguibili ha trovato un collegamento e lo ha neutralizzato accidentalmente. Il codice esaminato prevedeva che in caso di connessione avvenuta con il dominio, il malware-binary si sarebbe dovuto arrestare. A quel punto, lo ha acquistato (10.69 $) e attivato (la registrazione è a nome di Botnet Sinkhole). L’idea di base è che i creatori abbiano previsto un interruttore di arresto per i propri malware in caso un dominio impossibile da registrare casualmente fosse stato acquistato e messo online.

Il codice analizzato:

Già si parla però di un Wannacry 2.0, di estensione minore ma basato sullo stesso codice, fatta ovvia eccezione per il killswitch, che starebbe infettando alcuni terminali nel mondo. Si attendono ulteriori aggiornamenti.

Quello che è sicuro finora è che l’evento verificatosi riapre il dibattito sul c.d. Vulnerabilities Equities Process (VEP), “un procedimento interno al Governo USA in base al quale viene valutata la possibilità di tenere riservate o al contrario pubblicare delle vulnerabilità nella sicurezza di un software” (a tal proposito si rimanda ad un contributo passato https://goo.gl/pYNhH2). La domanda fondamentale è: l’intelligence nazionale che scopra una vulnerabilità in un’infrastruttura di interesse collettivo è tenuta ad informare la sicurezza dell’infrastruttura e permettere una patch o un update per rimediare alla falla? Non è un caso che a prendere rapidamente la parola sia stato anche Edward Snowden, il noto whistleblower dell’NSA che aveva rivelato informazioni sul VEP.

Lorenzo Termine