Petya ransomware: un attacco finanziato dallo stato o meno

Un diffuso attacco ransomware soprannominato Petya / Petrwrap, che assomigliava molto agli attacchi di WannaCry all'inizio di questo mese, ha colpito le macchine in Spagna, Francia, Ucraina, Russia e in alcuni altri paesi martedì, ma l'impatto maggiore dell'attacco si è verificato in Ucraina, dove un certo numero di organizzazioni governative e del settore privato sono state interessate.

Più tardi lo stesso giorno, l'account e-mail degli hacker, che era la chiave per decrittografare i dispositivi interessati, è stato disabilitato dalla società di posta Posteo causando un clamore poiché gli utenti interessati non saranno in grado di ricevere la chiave di decodifica anche se pagano il riscatto di $ 300 in Bitcoin.

L'entità dell'attacco all'Ucraina è stata relativamente più elevata rispetto ad altri paesi e questo ha portato molti ricercatori ed esperti di sicurezza a credere che l'attacco potesse essere stato un attacco finanziato dallo Stato contro l'Ucraina.

Dal momento che il conto Bitcoin che accettava i pagamenti aveva accumulato solo $ 10.000 in pagamenti di riscatto prima della chiusura dell'ID e-mail, questo ha portato i ricercatori a credere che il vero motivo dietro l'attacco non fosse denaro ma che danneggiasse l'Ucraina.

Leggi anche: Cos'è il Ransomware e come proteggerlo.

"Il fatto di fingere di essere un ransomware pur essendo, di fatto, un attacco di stato nazionale - specialmente da quando WannaCry ha dimostrato che i ransomware diffusi non sono finanziariamente redditizi - è a nostro avviso un modo molto sottile dall'aggressore di controllare la narrativa dell'attacco ”, ha concluso Matt Suiche di Comae.

Petya: Wiper, Not Ransomware; O no

Il ransomware Petya è riuscito a raccogliere una somma irrisoria e ha interessato la banca centrale ucraina, i trasporti in metropolitana, l'aeroporto e la centrale elettrica di Chernobyl, portando i ricercatori a credere che l'attacco sia stato finanziato dallo stato e mirato specificamente a colpire le infrastrutture dell'Ucraina.

I ricercatori della sicurezza hanno scoperto che il ransomware Petya non avrebbe potuto essere decifrato.

“Dopo un'analisi della routine di crittografia del malware utilizzato negli attacchi di Petya, abbiamo pensato che l'attore delle minacce non potesse decifrare il disco delle vittime, anche se fosse stato effettuato un pagamento. Ciò supporta la teoria secondo cui questa campagna malware non è stata progettata come un attacco di ransomware a scopo di lucro. Invece, sembra che sia stato progettato come un tergicristallo che finge di essere un ransomware ", hanno affermato i ricercatori di Kaspersky Security.

Non solo, le infezioni iniziali sono state inviate insieme a un aggiornamento di MeDoc, un programma di contabilità ucraino. Sebbene non sia chiaro il motivo per cui sono stati presi di mira altri paesi, se questo sospetto è vero, allora può benissimo essere d'aiuto mascherare Petya come un attacco di ransomware in tutto il mondo piuttosto che un attacco sponsorizzato dallo stato contro l'Ucraina.

Uno dei principali sospettati dell'attacco è il governo russo, che in passato è stato ritenuto responsabile degli attacchi informatici alle infrastrutture pubbliche ucraine iniziato subito dopo l'annessione della Crimea nel 2014.

Mentre ci sono molte prove che indicano che Petya è un tergicristallo e non un ransomware, nel migliore dei casi tutto è circostanziale.

È del tutto possibile che questi sistemi pubblici del governo ucraino, come altri governi e organizzazioni private di altri paesi in tutto il mondo, si siano presentati un bersaglio debole per gli hacker ed è per questo che sono stati attaccati.

Leggi anche: Ransomware Attack on the Rise: ecco come rimanere al sicuro.

Se parli del sistema di decrittazione e pagamento difettoso per l'attacco ransomware Petya, potrebbe essere stato solo il caso di codifica negligente e seguito da parte degli hacker.

Anche se gli aggressori non erano in grado di fare soldi, il malware ruba anche credenziali e altri dati dai sistemi infetti, che potrebbero rivelarsi utili per ulteriori attacchi.

Anche se non si può dire con certezza se l'attacco ransomware Petya sia stato un caso di hacking fallito o guerra ibrida, una cosa è certa che è necessario creare quadri di sicurezza migliori e più affidabili per evitare i pericoli di tale cyber attacchi in futuro.