Petya, Nyetya e le nuove frontiere del terrore

Scienza & Salute
barba cybersecurity futurama handshake nyetya

Si chiama Petya, viene dall’Ucraina ed è molto cattivo. Il malware, che appartiene alla categoria dei ransomware, ha deciso di seguire la strada del suo recente predecessore WannaCry e mettere a repentaglio i dati dei nostri PC. La sua missione è quella tipica di ogni ransomware: crittare i dati dei nostri PC, aprendoli singolarmente senza il nostro permesso e senza che possiamo accorgercene, e cifrarne il contenuto attraverso funzioni apposite, rendendoli di fatto inaccessibili a meno che non decidiamo di pagare un riscatto (in BitCoin). Ma come funziona? E quanto è pericoloso?

Come beccare il “virus”

La prima fase è quella di installazione, dove l’utente contrae il malware attraverso uno dei suoi vettori di propagazione. Questo è dovuto o a dei problemi legati alla gestione del rischio del sistema informatico in questione (falle nel sistema, vulnerabilità note, email come vettore di propagazione) o anche ad attacchi di ingegneria sociale. In questa fase solitamente il ransomware si insinua nel sistema brecciato installandosi e modificando i file di registro per poter apparire a ogni riavvio del computer, lasciandoci senza scampo. Nel caso di Petya il colpevole sarebbe un link nelle cartelle condivise di Dropbox.

Cosa succede adesso?

In questa fase il malware ha settato l’ambiente nel quale dovrà lavorare, e invierà delle richieste ad un server dislocato da qualche parte nel mondo: dopo una fase di “handshake“nella quale il server e il malware si riconoscono a vicenda, ci sarà la generazione delle chiavi di crittazione, memorizzate sia nel server stesso che nel PC della vittima.

https://www.youtube.com/watch?v=LJ3ew14tt7Y

fase di handshake, per pochi coraggiosi

Serviranno a tenere in ostaggio i nostri dati crittandoli e rendendoli inaccessibili e a poterli “liberare” solo dopo il pagamento di un riscatto.

E non è tutto…

Solo adesso avviene la fase più preoccupante: è tutto pronto per la crittazione dei file. Il ransomware utilizzerà la chiave recuperata in precedenza e passerà in rassegna tutti i file del PC con le estensioni più comunemente usate, dai documenti Word alle foto della laurea (…cioè..si fa per dire…), che da quel momento in poi saranno irrecuperabili, a meno che non si voglia pagare un riscatto che tipicamente si aggira tra i 300$ e i 500$, rigorosamente in BitCoin. Attualmente è il modo più sicuro che hanno hacker e “gentaglia” simile per non essere tracciati.

Shut up and take my money!

Questo è il punto più importante per il creatore del malware, cioè quando si passa dal codice ai big money. Infatti, più PC saranno infetti, più possibilità ci saranno che i proprietari paghino un riscatto per riavere indietro i propri dati e di conseguenza più zeri avrà il conto in banca. Bisogna però precisare che raramente chi progetta diavolerie simili lo faccia per per denaro: i motivi sono dei più disparati, dal “for fun” all’hacktivismo.

Cose da tenere a mente

Se WannaCry è riuscito nell’intento, insito nel suo nome (asd), di far disperare un bel paio di malcapitati, o per i dati persi o per i soldi sborsati, Petya dal canto suo promette di essere se necessario ancora peggio: sebbene forse sia stato trovato il modo di bloccarlo tempestivamente a causa di una non troppa complessa operazione di XOR sul Master Boot Record nella sua fase iniziale, il ransomware in questione è già mutato in una nuova forma chiamata Nyetya, ancora più pericolosa, e che non consentirà nemmeno di riavere indietro i propri dati dopo aver pagato il riscatto, a causa della chiusura dell’indirizzo email a cui inviare gli estremi del pagamento. Rivolgersi al proprio amichetto smanettone di fiducia in casi come questi potrebbe non servire a nulla, bisogna rassegnarsi avere tanta pazienza, ma soprattutto le copie di backup!

Salvo Bertoncini