5 anni dopo NotPetya: cos’hanno imparato i CISO?
Il 27 giugno 2017, alla vigilia della festa della Costituzione ucraina, fu lanciato un importante attacco informatico globale che finì con l’infettare più di 80 aziende in quel paese utilizzando un nuovissimo “patogeno” informatico diventato noto come NotPetya. NotPetya non è rimasto all’interno dei confini dell’Ucraina, ma si è riversato fuori per infettare e portare caos in migliaia di organizzazioni in tutta Europa e nel mondo. NotPetya è stato chiamato così perché era simile ma diverso da Petya, un ransomware autopropagante scoperto nel 2016 che, a differenza di altre forme nascenti di ransomware dell’epoca, non era in grado di essere decifrato.
Come Petya, il suo successore NotPetya non era un vero e proprio ransomware perché non poteva essere decifrato; gli aggressori si mascheravano dietro una falsa richiesta di riscatto di 300 dollari per fornire copertura per quelli che si rivelarono poi i suoi effettivi scopi distruttivi. NotPetya emerse cinque settimane dopo un altro pericoloso ransomware, WannaCry. Considerata una vera “arma informatica”, NotPetya ha condiviso con WannaCry l’uso di EternalBlue, uno strumento informatico sviluppato e rubato dalla National Security Agency (NSA) degli Stati Uniti.
Utilizzando Eternal Blue, NotPetya ha sfruttato una vulnerabilità nel protocollo Server Message Block (SMB) di Windows che Microsoft corresse mesi prima in Windows 10. Tuttavia, perché il malware si diffondesse, bastò un singolo computer Windows 10 senza patch o un PC con una vecchia versione di Windows all’interno di un’organizzazione. Oltre a EternalBlue c’era un altro potente strumento di ricerca sulla sicurezza chiamato Mimikatz, che poteva estrarre le password dalla memoria. I due strumenti insieme permisero all’attacco di spostarsi da una macchina all’altra.
Sebbene alcuni esperti abbiano considerato NotPetya una variante di Petya, i due malware sono generalmente considerati separati e distinti, in particolare considerando il modo in cui si propagano. NotPetya è stato molto più contagioso di Petya, anche perché apparentemente non c’era modo per impedirgli di diffondersi rapidamente da un host all’altro.
Come ha documentato l’esperto Andy Greenberg, NotPetya ha paralizzato il gigante delle spedizioni Maersk, la società farmaceutica Merck, la filiale europea di Fedex TNT Express, la società di costruzioni francese Saint-Gobain, il produttore alimentare Mondelēz e il produttore Reckitt Benckiser. Complessivamente il malware ha causato danni globali per oltre 10 miliardi di dollari. La fonte di NotPetya si scoprì in seguito essere un gruppo di agenti russi del GRU noto come Sandworm o Unit 74455 che, tra gli altri dannosi incidenti informatici, fu ritenuto responsabile anche di un attacco informatico del 2015 alla rete elettrica ucraina.
Abbiamo chiesto a due esperti che hanno affrontato le conseguenze di NotPetya cinque anni fa come vedono l’attacco informatico del 2017 in retrospettiva e quali conseguenze potrebbe avere per l’attuale guerra della Russia contro l’Ucraina.
Il ransomware come arma di guerra
Amit Serper, uno dei principali ricercatori sulla sicurezza presso Cybereason quando NotPetya colpì nel 2017 che ora è il direttore della ricerca sulla sicurezza presso Sternum, è stata la prima persona a sviluppare una soluzione alternativa che ha disabilitato NotPetya. “All’epoca il ransomware stava appena iniziando a diventare prevalente e fino a quel momento non aveva preso di mira grandi aziende o società come invece succede oggi“.
Dopo che WannaCry e NotPetya colpirono, il ransomware è passato dall’essere qualcosa usato opportunisticamente dai criminali informatici a “una specie di un’arma di guerra in grado di colpire grandi e organizzazioni impedendo la loro normale attività. Ecco perché NotPetya e WannaCry sono stati un momento spartiacque all’epoca”.
Entrambi i ransomware, inoltre, hanno reso il mondo più complicato. I fornitori di sicurezza informatica fino a quel momento si erano concentrati su problemi di sicurezza teorici astratti, dice Serper, ma improvvisamente dovettero fare i conti con l’uso improprio di tecnologie semplici come la crittografia e la decrittazione per la leva geopolitica.
NotPetya ha cambiato la coscienza dei CISO
Adam Flatley è attualmente il direttore dell’intelligence sulle minacce di Redacted, ma in precedenza ha lavorato come direttore delle operazioni di Cisco Talos quando NotPetya iniziò a colpire e lui e il suo team furono tra i primi a scoprirlo. “Credo che l’evento NotPetya abbia cambiato la coscienza di molti CISO e CSO in tutto il mondo”.
NotPetya ha insegnato innanzitutto ai CISO cosa può accadere se non segmentano correttamente le loro reti. “Se guardate cosa è successo con NotPetya, vedrete che il malware aveva un meccanismo di propagazione illimitato in grado di andare lontanissimo”, afferma Flatley. Per certi versi l’attuale conflitto in Ucraina ricorda a Flatley quello che è successo con NotPetya.
“Quando è iniziata la guerra, si è parlato molto di come i russi avrebbero usato ransomware o wiper per attaccare l’Ucraina. Ciò ha immediatamente attivato il ricordo di cosa accadde nel 2017. Poi, con il proseguo del conflitto, sono emerse molte prove dell’uso di wiper in Ucraina e, con esse, il timore che si sarebbero diffusi fuori dal paese. Fortunatamente, finora i russi hanno utilizzato impostazioni molto conservatrici sui wiper”.
Tuttavia, Flatley afferma che la prospettiva di un evento di tipo NotPetya derivante dall’attuale conflitto è ancora molto reale. “È interessante il fatto che i russi siano più attenti questa volta con i loro attacchi informatici, ma la tecnologia è ancora lì a disposizione per loro e basta davvero poco perché decidano di cambiare impostazioni e di scatenare attacchi ben più devastanti di quelli che si sono visti finora”.