Le organizzazioni contano i danni di Petya dopo la tempesta

Le nuove minaccePer gli utentiPer i Responsabili ITmalwareVulnerabilità

L’ottimismo iniziale che il cyberattacco di Petya (o NotPetya / PetyaWrap) potesse essere una mera ulteriore copia dell’incidente straordinario di WannaCry di maggio è svanito – ora sembra che sia stato ugualmente serio per ragioni leggermente diverse.

La società britannica di prodotti di consumo Reckitt Benckiser ha subito una interruzione di produzione che si prevede potrebbe equivalere a 110 milioni di sterline (135 milioni di dollari) in perdite di reddito, mentre il produttore di cioccolato Mondelez ha stimato il danno a tre punti percentuali rispetto alla sua crescita del secondo trimestre.

Stando a quel che si dice, altri nomi conosciuti sono stati gravemente colpiti da Petya compresi il gruppo pubblicitario WPP, FedEx, il gigante delle spedizioni Maersk, Nuance Communications e, forse, la società petrolifera russa Rosneft.

Fino ad ora, i cyberattacchi violando i dati erano andati a colpire i profitti a seguito del danno provocato alla gestione del cliente ed alla reputazione. Petya, come WannaCry prima, indica che l’interruzione delle catene di fornitura è la nuova preoccupazione finanziaria.

Poi c’è la domanda persistente del fine ultimo di Petya e perché si è dimostrato così dannoso. Dopo giorni dall’attacco, non abbiamo risposte definitive, ma abbiamo più indizi e molte ipotesi.

Abbiamo già pubblicato una descrizione dettagliata del malware più un’analisi del suo comportamento da ransomware worm e di disattivazione del disco, per cui ci concentreremo sugli sviluppi della storia in un ambito più ampio.

Ora è abbastanza certo che quando questo attacco ha avuto inizio si è diffuso cooptando i server di aggiornamento di un pacchetto software di contabilità chiamato MeDoc, poco conosciuto al di fuori della sua nativa Ucraina. Certo, le autorità sembrano convinte e la polizia locale ha fatto irruzione nella società l’altra settimana.

Esattamente come è accaduto? Qui la storia diventa torbida. L’unità Talos di Cisco è stata in grado di accedere ai log sul sito per scoprire che gli attaccanti avevano avuto accesso al codice sorgente per inserire una backdoor negli aggiornamenti almeno tre volte quest’anno, cosa che avrebbe dato loro il controllo di ogni macchina su cui era stato installato il software.

Anche se ampiamente citate, autentiche backdoor – qualcosa introdotto deliberatamente nel codice a scopi dannosi – sono ancora una scoperta molto rara. La società ucraina è stata una vittima o semplicemente tanto incompetente da aver permesso una cosa del genere? Traete le vostre conclusioni.

La sofisticatezza e la distruttività iniziale di Petya rendono improbabile che sia stato, come è sembrato brevemente, un attacco ransomware, anche perché la crittografia sembrava essere stata progettata per errore.

Questo non ha impedito agli aggressori di appropriarsi dei pochi riscatti di Bitcoin depositati dalle vittime. È stato un altro stratagemma per far sembrare che un gruppo di cybercrime ne sia stato responsabile?

Profeticamente, a un giorno dall’attacco, Jens Stoltenberg, segretario generale della NATO, ha detto ai giornalisti che tali attacchi potrebbero essere considerati un atto aggressivo che potrebbe provocare il ricorso all’articolo 5 del trattato dell’Atlantico settentrionale che sancisce il principio della reciproca difesa.

Esattamente come l’articolo potrebbe funzionare con i cyberattacchi non è ancora chiaro. Tanto più che l’Ucraina non è un membro della NATO.

Sembrano probabili ulteriori rivelazioni su Petya. Come WannaCry, si sta rivelando non solo uno dei più dirompenti cyberattacchi di tutti i tempi, ma anche uno dei più strani e più sconcertanti.

Leave a Reply

Your email address will not be published.