Giampaolo Dedola, Global Research and Analysis Team di Kaspersky Lab, evidenzia tutte le differenze rispetto a Petya e a Wannacry. Che ha colpito con forza anche l’Italia.
Nelle scorse settimane, dopo una pausa brevissima, il mondo è tornato precipitosamente a parlare di sicurezza. Il merito o, meglio dire la colpa, è dell’attacco che ha colpito in particolare Russia e Ucraina, andando persino a mettere fuori uso alcuni sistemi di controllo della famigerata centrale nucleare di Chernobyl. Inizialmente l’attacco era stato ribattezzato Petya, dal nome di un malware già noto da alcuni mesi, poi si è cominciato lentamente a comprendere che avevamo avuto a che fare con una minaccia del tutto particolare, tanto che uno dei principali vendor del settore, Kaspersky Lab, l’ha ribattezzata NotPetya. Come racconta Giampaolo Dedola, Security Researcher, Global Research and Analysis Team di Kaspersky Lab: «Inizialmente il virus era stato associato a Petya, che era già noto e si era già presentato in passato. Si è poi successivamente capito che era una tutt’altra minaccia soprattutto per le caratteristiche con cui cifrava l’MBR, ovvero il disco, sovrascrivendo la procedura di avvio. Per questo è stato chiamato NotPetya, proprio perché si è trattato di qualcosa di completamente diverso, sia dal punto di vista delle caratteristiche che del codice. Come detto c’erano infatti delle similitudini nel modo di sovrascrivere, ma tutte le altre funzioni erano differenti, dalla capacità di propagazione, alla cifratura dei file».
Giampaolo Dedola, Security Researcher, Global Research and Analysis Team di Kaspersky Lab
Quel che è certo è che lo scorso 27 giugno, quando la minaccia di NotPetya ha iniziato a prendere consistenza, i centri di analisi di Kaspersky Lab in giro per il mondo hanno iniziato a essere inondati di segnalazioni provenienti da diverse aree, che evidenziavano una compromissione a macchia d’olio di numerose macchine. Subito, ovviamente, è scattata una opportuna reazione: «Abbiamo identificato dei campioni, cercando così di capire il funzionamento di questa minaccia e, soprattutto, provare a bloccarla. Durante queste analisi abbiamo notato tutte quelle caratteristiche di autopropagazione a cui abbiamo accennato in precedenza, in grado di inviare comandi da remoto, la presenza di sistemi per la raccolta delle credenziali della macchina, ma anche l’utilizzo di exploit, tra cui EternalRomance e EternalBlue, utilizzati in Wannacry e – molto probabilmente – sottratto alla Nsa».