Nel mese di maggio avevamo assistito già ad un grosso attacco ransomware denominato WannaCry, martedì scorso (27 giugno 2017) una nuova onda si è scagliata su vari computer europei ed americani: NotPetya.
Questo malware è stato anche chiamato Petya, Nyetya, Petrwrap, e ExPetr e GoldenEye poiché fin da principio le compagnie di sicurezza non erano ancora certe della sua appartenenza alla “specie” Petya (sì, proprio così, i virus vengono trattati come nuove specie animali, in un certo senso, con la loro storia, i loro diversi nomi, le generazioni da cui derivano, la loro genetica e la loro evoluzione, altrimenti risulterebbe impossibile classificarli e studiarli propriamente). Ma, in realtà, NotPetya è un wiper che finge d’essere un ransomware e che ha colpito in particolare l’Ucraina e le compagnie energetiche. Ma questa non è la prima volta che assistiamo ad un attacco verso questo Paese: nel dicembre 2015, infatti, otto utilità elettriche erano state spente remotamente lasciando 80.000 persone al buio e, ora come allora, il dito complottista era stato puntato verso dei possibili hacker russi.
Il wiper è un virus del computer meno diffuso ed indulgente del ransomware. Il nome wiper deriva dall’Inglese e significa “tergicristallo” indicando, inoltre, il verbo to wipe che oltre ad indicare l’azione del pulire suggerisce anche quella della cancellazione. Se infatti il ransomware si limita, una volta entrato nel nostro congegno, a bloccare il computer chiedendone un riscatto, il wiper cancella definitivamente tutti i dati senza lasciare all’utente alcuna speranza in un loro possibile recupero.
Molti sebbene NotPetya sia un malware totalmente diverso lo hanno relazionato a WannaCry per due diverse motivazioni:
- Chiede all’utente di pagare un riscatto di 300 dollari in Bitcoin per sbloccare il computer affetto. Come mostrato nell’immagine sottostante. Ma, sebbene l’utente paghi questa imposta il pc continuerà ad essere bloccato ed i dati non recuperabili. E non vi sono al suo interno informazioni per il recupero di dati come, invece, avviene nel caso dei ransomware. N. Weaver, esperto di sicurezza e ricercatore all’International Computer Science Institute, aveva fatto già notare che NotPetya poteva essere un finto ransomware (confermato successivamente da altri esperti che lo hanno effettivamente dimostrato utilizzando la fonte) poiché ad ogni vittima viene assegnato lo stesso indirizzo Bitcoin mentre, normalmente, risulta personalizzato; non solo ma questo wiper richiede agli utenti di mettersi in contatto con i ricattatori via e-mail anziché via Tor.
Tor, infatti, risulta più difficile da bloccare rispetto all’e-mail la quale, infatti, è stata prontamente chiusa dall’host eliminando, così, la possibilità di invio dati da parte degli utenti.
Inoltre, la chiave consegnata all’utente (evidenziata dal rettangolo verde nell’immagine soprastante) è generata randomicamente. - Utilizza in parte lo stesso exploit di WannaCry, denominato EternalBlue. Questa vulnerabilità – relativa ai protocolli server SMBv1 e SMBv2 (dove SMB sta per Server Message Block) e che affligge i vecchi sistemi di Microsoft Windows – era stata sviluppata ed utilizzata per anni dalla NSA (National Security Agency) finché non è stata sottratta dal gruppo hacker Shadow Brokers, lo scorso 14 aprile e resa nota a livello globale, assieme ad un altro exploit EternalRomance (un codice remoto che attacca le versioni da Windows XP a Windows 2008 via TCP porta 445), anche questo attivo in NotPetya. Windows aveva già in marzo reso disponibile l’aggiornamento con la patch di Windows MS17-010 per correggere queste due vulnerabilità.Vi sono altre due componenti legittimi che permettono al virus di spostarsi nella rete una volta recuperate le credenziali utente e sono WMIC (Windows Management Instrumentation Command) che permette di recuperare tutti i dati del pc ed abilita la gestione delle righe di comando; nel nostro caso recupera nome utente e password per installare, poi, il malware nel network corrente:
Wbem\wmic.exe /node:"IPadress" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1 60"
PsExec, ovvero un software che permette di eseguire programmi dalla rete locale a cui sono collegati più computer (LAN) ed, in particolare, di eseguire il seguente comando per installare il malware nella rete:
C:\WINDOWS\dllhost.dat \\IPadress -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1 60
Ma vediamo, ora, come l’infezione e la diffusione di questo wiper è cominciata. Pare che il luogo in cui abbia avuto inizio l’infezione sia stato un aggiornamento corrotto e forzato su Me-Doc, un programma ucraino di contabilità. Secondo quanto descritto da Microsoft e messo in evidenza dal loro diagramma qui sotto riportato, il suddetto aggiornamento ha installato un file denominato EzVit.exe che ha eseguito un comando che a sua volta ne ha avviati altri due per effettuare il recupero delle credenziali utente per poter utilizzare gli exploit già descritti precedentemente:
- C:\\Windows\\system32\\rundll32.exe\
Questo comando ci indica che EzVit.exe ha richiesto di essere lanciato sul computer automaticamente (questo avviene per tutti i file .exe).
- C:\\ProgramData\\perfc.dat\,” #1 60″
ProgramData è una cartella d’archivio in cui si trovano i programmi installati e spesso anche le tracce di quelli eliminati. - C:\\Users\\[REMOVED]\\AppData\\Local\\Temp\\[SOME_GUID]\\64\\Unicrypt.exe\
Eseguito assieme al precedente e che avvia la crittografazione
Inoltre, quello che viene chiamato Parent Process ID ed evidenziato nel diagramma qui sotto indica l’ordine temporale di sequenza dei processi sottolineando che rundll e unicrypt sono stati eseguiti entrambi dal precedente EzVit.exe. Perché questo è importante? Semplicemente perché in questo modo possiamo effettivamente avere la sicurezza che proprio l’esecuzione di tale file abbia dato inizio al wiper che stiamo analizzando inizializzando il recupero delle credenziali utente.
Nel giro di dieci minuti-un’ora dall’iniziale infezione, il wiper riavvia il computer. Questo è visibile dall’estratto codice qui sotto riportato dove, sotto la dicitura HowMuchMinutesIWasRunning (per quanti minuti stavo correndo), viene effettivamente descritto if (runTimesMinutes < 10), cioè se i minuti dal momento in cui il virus si è scaricato sono minori a 10 allora dovrà attendere latente nel computer fino a ché non saranno scaduti; altrimenti il pc si riavvierà o via shutdown.exe o via schtasks oppure via at (v. scritte in verde nell’immagine sottostante).
Una volta riavviato il computer, il wiper inizierà a criptare le partizioni NTFS (New Technology File System) dove i file di sistema vengono memorizzati e la MFT (Master File Table) facente parte e contenente i metadati dell’NTFS indicando locazione, numero, dimensioni ed altre specifiche dei vari dati nel sistema. Dopodiché, se riesce ad ottenere i privilegi di amministratore via Windows API Adjust Token Privilege, sovrascrive l’MBR (Master Boot Record) che possiede i comandi necessari per l’avvio del pc inserendo la richiesta di pagamento e danneggiando di proposito ed irreparabilmente il disco. Se, invece, non ottiene i privilegi NotPetya cancella i primi dieci settori di memoria dell’hard disk (scherzetto dedicato anche ai computer che contengono Kaspersky come antivirus).
Quest’ultimo passo è visibile dall’immagine qui sotto postata da M. Suiche sul suo blog. A sinistra possiamo notare la versione attuale come wiper di NotPetya mentre sulla destra quella della versione ransomware di Petya del 2016:
https://cdn-images-1.medium.com/max/1800/1*QahrmjNAnT8YlC56evTRJA.png
Secondo vari esperti citati tra le fonti riportate a fine articolo, la scelta di far assomigliare NotPetya ad un ransomware è stata fatta nella speranza di poter cavalcare l’onda giornalistica che aveva travolto WannaCry: un modo, quindi, di far risuonare la propria presenza a livello mondiale. Ma, molto probabilmente il lancio di NotPetya potrebbe essere stato causato anche dalla diffusione della patch di Windows (estesa dopo WannaCry anche a Windows XP) obbligando gli sviluppatori di questo wiper ad azionarlo prima di ottimizzarne alcuni processi che paiono essere lasciati in sospeso.
A questo punto, cosa aspettiamo ad aggiornare i nostri computer?
FONTI:
A. Chiu, New Ransomware Variant “Nyetya” Compromises Systems Worldwide, in CISCO, 27.06.2017
G. Cluley, Smashing Security #031: Petya (don’t know the name of this ransomware), in “Graham Cluley”, 29.06.2017
Editor, New WannaCryptor-like ransomware attack hits globally: All you need to know, in “We live security”, 27.06.2017
GReAT, Schroedinger’s Pet(ya), in “SecureList”, 27.06.2017
GReAT, From BlackEnergy to ExPetr, in “SecureList”, 30.06.2017
A. Ivanov e O. Mamedov, ExPetr/Petya/NotPetya is a Wiper, Not Ransomware, in “SecureList” 28.06.2017
D. Goodin, First known hacker-caused power outage signals troubling escalation, in “Ars Technica”, 4.1.2016
D. Goodin, NotPetya developers may have obtained NSA exploits weeks before their public leak, in “Ars Technica”, 30.06.2017
B. Krebs, ‘Petya’ Ransomware Outbreak Goes Global, in “KrebsonSecurity”, 27.06.2017
R. Meggiato, Come funziona NotPetya, il nuovo ransomware che sta criptando migliaia di computer, in “Wired”, 28.06.2017
msft-mmpc, New ransomware, old techniques: Petya adds worm capabilities, 27.06.2017
A. Patel, Petya: “I Want To Believe”, in “F-Secure”, 29.06.2017
M. Suiche, Petya.2017 is a wiper not a ransomware, in Comae, 28.06.2017
M. Suiche, Petya— Enhanced WannaCry?, in Comae, 27.06.2017