Petya, il ransomware che infetta il Master Boot Record

Pubblicato il di Trovalost.it

Un nuovo ransomware va ad aggiungersi alla già  lunga lista di prodotti particolarmente ostici e difficili da rimuovere: un ennesimo malware che – dopo le numerose varianti Troj/PHPRansm-B, Ransom32, CTB Locker, Cryptolocker, Locky ed il virus che blocca il sistema da remoto – cripta i dati del nostro hard disk direttamente all’avvio, mascherandosi da procedura di chkdsk e bloccando poi il sistema operativo (Windows) con una schermata minacciosa. I dati sono quindi inaccessibili sia in lettura che in scrittura, e viene richiesto un riscatto per riavere i propri dati.

Con la potenza di calcolo in gioco oggi, purtroppo non ci sono molte possibilità  di invertire o riparare i danni fatti da questi virus, la cui prima variante risale al 1989: bisognerebbe indovinare senza alcun criterio un passcode tipicamente di almeno 2048 bit, il che è praticamente impossibile dato che, in molte situazioni, i malware cosଠsono programmati per cancellare tutti i dati dopo un certo numero di tentativi errati. La dinamica di diffusione del virus secondo l’analisi di Bleeping Computer – che ha rilevato per primo il problema – è nota: Petya si diffonde mediante link di DropBox tipicamente via email, molte delle quali rivolte al personale impiegato presso varie aziende. L’inganno consiste nel fare installare direttamente a loro il virus, mascherandolo come se fosse un software pulito.

Secondo ArsTechnica (che cita il blog del ricercatore tedesco Fabian Scherschel), l’unico modo per sbarazzarsi del ransomware Petya è quello di bloccarne il processo nella prima fase, quindi prima possibile. Inizialmente, infatti, il virus effettua un semplice XOR del Master Boot Record, motivo per cui basterebbe avviare il disco mediante un drive esterno e salvare così tutti i dati minacciati. È utile sapere, inoltre, che sui sistemi UEFI (che hanno sostituito il classico BIOS su molti sistemi Microsoft) il malware si limita a rendere il disco non avviabile, mentre i dati restano solitamente intatti. L’opzione più drastica rimane quella di formattare, il che non permette – chiaramente – di recuperare i dati criptati, ma solo di rendere nuovamente il computer utilizzabile.

Petya è un ransomware che ha guadagnato notorietà nel 2016 per la sua capacità di infettare il Master Boot Record (MBR) di un sistema, impedendo il corretto avvio del sistema operativo. A differenza di altri ransomware che criptano solo i file dell’utente, Petya agisce a un livello più profondo, infettando la parte cruciale del disco rigido che contiene informazioni fondamentali per l’avvio del sistema operativo, con l’effetto di bloccare il computer rendendo difficile il recupero. Il nome “Petya” è stato utilizzato per descrivere più varianti del ransomware, che ha continuato a evolversi nel tempo.

Petya si differenzia da altri ransomware per il suo approccio innovativo nell’infettare i sistemi. Mentre la maggior parte dei ransomware si concentra sulla cifratura dei file, Petya infetta direttamente il Master Boot Record (MBR), una porzione del disco rigido che contiene il codice necessario per il caricamento del sistema operativo. In particolare, Petya sovrascrive l’MBR con un proprio codice dannoso, impedendo l’avvio del sistema.

Una volta che il sistema è infetto, Petya mostra una schermata di avviso in cui si richiede il pagamento di un riscatto, generalmente in Bitcoin, per decifrare i file e ripristinare l’accesso al sistema. La cifra richiesta per il riscatto varia a seconda della versione e delle richieste dei criminali.

Modus Operandi:

  1. Infezione iniziale: Petya si diffonde principalmente tramite l’uso di email di phishing contenenti allegati infetti, che una volta aperti eseguono il payload dannoso. Altre modalità di diffusione includono l’uso di vulnerabilità nei sistemi (come la vulnerabilità EternalBlue, che è stata sfruttata anche da altri ransomware come WannaCry).
  2. Criptazione del MBR: Una volta che il ransomware ha avuto accesso al sistema, Petya sovrascrive il MBR del disco rigido con il proprio codice dannoso. Il sistema operativo non può più avviarsi, poiché il MBR è danneggiato.
  3. Criptazione dei file: Una volta che Petya ha preso il controllo del sistema, la crittografia dei file viene eseguita a livello del filesystem. Petya cifra i file cruciali dell’utente (documenti, immagini, ecc.) utilizzando un algoritmo di cifratura simmetrica, bloccando l’accesso ai dati.
  4. Richiesta di riscatto: Dopo aver infettato il sistema, Petya mostra una schermata che richiede il pagamento di un riscatto, in genere in Bitcoin, per decriptare i file. Tuttavia, nella variante originale, una volta che l’MBR veniva sovrascritto, il riscatto veniva richiesto anche per il ripristino della funzionalità del sistema stesso.
  5. Evoluzioni successive: Petya è stato migliorato e distribuito in diverse varianti. Alcune versioni sono riuscite a evadere la rilevazione dei software antivirus e a infettare rapidamente un numero maggiore di dispositivi. Inoltre, le versioni più recenti hanno sfruttato vulnerabilità nei sistemi operativi e nei software di rete per espandere rapidamente l’infezione all’interno delle reti aziendali.

Stato dell’Arte e Rilevanza Attuale:

Nel 2025, Petya è ancora una minaccia per i sistemi che non sono protetti adeguatamente o che non sono stati aggiornati per difendersi dalle vulnerabilità sfruttate dal ransomware. Sebbene non sia più così diffuso come una volta, la sua capacità di infettare le reti aziendali e di compromettere interi sistemi lo rende una minaccia rilevante.

  1. Evoluzione del ransomware: Sebbene Petya sia stato ampiamente discusso nel 2016 e 2017, le varianti di questo ransomware, come NotPetya, hanno continuato a evolversi. NotPetya, in particolare, ha mostrato un livello di sofisticazione più elevato, mirando non solo a cifrare i file, ma anche a compromettere l’integrità delle reti aziendali. In molti casi, NotPetya è stato utilizzato come attacco cibernetico su larga scala, causando danni anche a livello di infrastrutture critiche.
  2. Misure di protezione: Le aziende e gli utenti che hanno adottato pratiche di sicurezza informatica più moderne, come l’uso di backup regolari, soluzioni di protezione endpoint avanzate, e l’adozione di patch di sicurezza tempestive, sono molto meno vulnerabili a Petya rispetto al passato. Inoltre, la segmentazione delle reti, l’uso di firewall e la restrizione dei privilegi utente possono limitare significativamente l’impatto di attacchi come Petya.
  3. Ripristino e recupero: Se infettati da Petya, è fondamentale avere un piano di ripristino che includa backup regolari e l’uso di strumenti per ripristinare l’MBR e i file crittografati. In alcuni casi, strumenti di decrittazione gratuiti, sviluppati dalla comunità di sicurezza, possono essere utili per recuperare i file senza pagare il riscatto, a condizione che non sia stata utilizzata una versione di Petya particolarmente sofisticata.

Deve preoccuparci oggi?

Anche se Petya non è più una delle minacce principali nel panorama odierno, le sue varianti più recenti come NotPetya sono ancora rilevanti, soprattutto per le organizzazioni che non adottano misure di sicurezza adeguate. Petya in sé potrebbe non essere una preoccupazione immediata per la maggior parte degli utenti, ma la sua evoluzione e l’uso di vulnerabilità note in software di rete lo rendono una minaccia potenziale per coloro che non mantengono i loro sistemi aggiornati.

Le aziende che non eseguono aggiornamenti regolari, che non segmentano le loro reti o che non utilizzano soluzioni di sicurezza avanzate sono vulnerabili ad attacchi simili a Petya. In particolare, l’uso di EternalBlue, la vulnerabilità utilizzata da Petya e WannaCry, è ancora un rischio per le reti aziendali che non hanno applicato le patch di sicurezza Microsoft.

Di seguito viene mostrato un esempio di infezione (fonte).

Petya rappresenta un esempio di ransomware estremamente dannoso che ha evoluto il concetto di infezione informatica, colpendo non solo i file ma anche il Master Boot Record, compromettendo completamente il sistema. Anche se oggi la minaccia diretta di Petya è ridotta grazie all’evoluzione delle difese e alla maggiore consapevolezza della sicurezza, le sue varianti come NotPetya rimangono una minaccia significativa, in particolare per le aziende e gli utenti che non prendono precauzioni adeguate.

Per proteggersi da ransomware come Petya, è fondamentale mantenere i sistemi aggiornati, eseguire backup regolari, usare soluzioni antivirus avanzate, e applicare misure di sicurezza di rete come la segmentazione e l’uso di firewall.


👇 Contenuti da non perdere 👇

Trovalost esiste da 4766 giorni (13 anni), e contiene ad oggi 3737 articoli (circa 2.989.600 parole in tutto) e 28 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicato in News