Nel grande archivio dei disastri digitali, alcuni bug si estinguono in silenzio. Altri, invece, tornano — mascherati da catastrofi inevitabili — a ricordarci quanto sottile sia il confine tra stabilità e illusione.
In Bug Archeology torniamo su quei frammenti di codice dove il tempo si è fermato: codici lasciati intatti troppo a lungo e sistemi mantenuti più per fede che per logica.
Scaviamo ancora una volta nei calendari degli aggiornamenti rimandati, nelle sale server abbandonate nel motto “funziona, quindi, lascialo stare”.
Nel maggio 2017, mentre il mondo digitale si leccava ancora le ferite di WannaCry — un ransomware che si era diffuso come un incendio nelle praterie di sistemi Windows dimenticati — l’estate sembrava finalmente poter respirare. Ma non era ancora finita: a fine giugno arrivò la tempesta perfetta pronta a sconvolgere nuovamente la rete.
NotPetya è un maestro del travestimento, una tragedia con un protagonista ambiguo. Si presenta come un ransomware, chiedendo il riscatto con aria minacciosa, ma in realtà è un wiper: un virus spietato il cui unico scopo è cancellare ogni traccia, senza lasciare speranze di recupero. È un po’ come quel tipo in discoteca che ti invita a ballare, ma alla fine ti ruba il portafoglio senza nemmeno un sorriso.
BUG ARCHEOLOGY – EPISODIO 7
“Quel che non mi uccide, mi rende più forte”
— Friedrich Nietzsche
I. Il virus: un attore in cerca di un copione
Per capire NotPetya, bisogna prima spiegare cos’è un wiper. Se il ransomware è un sequestratore digitale, che ti blocca la porta di casa chiedendo un riscatto per riaprirla, il wiper è il piromane che brucia la casa lasciandoti senza nulla.
NotPetya, però, si presenta con l’aspetto di un ransomware: mostra una richiesta di riscatto da 300 dollari in Bitcoin. Tuttavia, l’indirizzo Bitcoin è lo stesso per tutti — una sorta di “donazione” universale, meno personalizzata di una classica email di spam — e il contatto indicato è una semplice email, facilmente disattivabile, invece della rete anonima Tor che i veri ransomware usano per proteggere i loro canali. Inoltre, la chiave mostrata da NotPetya è generata casualmente e non è quella che può davvero sbloccare il sistema.
Insomma, un bluff ben congegnato, forse per attrarre più attenzione o per confondere gli analisti.
II. La genetica del caos: exploit rubati alla NSA e software legittimi usati per il male
Il cuore tecnico di NotPetya è un cocktail micidiale: usa l’exploit EternalBlue, rubato alla NSA e già protagonista del successo di WannaCry, per infiltrarsi nei sistemi Windows non aggiornati. EternalBlue attacca il protocollo SMB (Server Message Block), una sorta di linguaggio di condivisione file fra PC in rete, particolarmente vulnerabile in vecchie versioni di Windows come XP o Windows 7 senza aggiornamenti.
Ma NotPetya non si ferma qui: sfrutta anche un secondo exploit, EternalRomance, e, una volta dentro la rete, si muove orizzontalmente usando strumenti legittimi e pericolosamente potenti come:
- WMIC (Windows Management Instrumentation Command-line), che normalmente serve a gestire i computer da remoto: qui viene usato per recuperare username e password
- PsExec, un tool di Microsoft che permette di eseguire comandi su altri PC della rete locale come se fossi seduto davanti a loro
Questa combinazione consente a NotPetya di infettare rapidamente intere reti aziendali, una vera epidemia digitale che passa da computer a computer come una fiammata incontrollata.
III. L’infezione: come un aggiornamento corrotto ha fatto crollare l’Ucraina
Secondo le indagini, il punto di partenza è stato un aggiornamento forzato e corrotto di Me-Doc, un software di contabilità ucraino largamente utilizzato. Questo aggiornamento distribuiva il file EzVit.exe, che agiva come un burattinaio, avviando altri processi malevoli:
- Il comando
rundll32.exelanciava script di sistema in modo nascosto - File come
perfc.dateUnicrypt.exevenivano eseguiti per avviare la crittografia dei dati
In meno di un’ora dal primo clic malevolo, il computer infetto si riavviava, un segnale inequivocabile che il malware stava per passare all’azione definitiva.
IV. Il momento della verità: il wipe e la distruzione
Al riavvio, NotPetya attacca la Master File Table (MFT) del file system NTFS, un po’ come strappare l’indice e la mappa di un libro, rendendo impossibile trovare i file. Se ottiene i privilegi di amministratore, sovrascrive il Master Boot Record (MBR), che contiene le istruzioni per l’avvio del sistema operativo, con un messaggio di richiesta riscatto. In caso contrario, cancella direttamente i primi settori dell’hard disk.
Non è un malware che si accontenta di bloccare: vuole distruggere, eliminare, far scomparire. Nel senso più totale del termine.
V. Filosofia di un wiper: distruggere per comunicare?
NotPetya è un virus che ci pone davanti a una domanda esistenziale: qual è il vero potere? Bloccare o distruggere?
Il ransomware è come un rapinatore che ti lascia speranza: paga e riavrai i tuoi dati. Il wiper è il nichilista digitale che dice “Non ti lascerò nulla, non ci sarà riscatto, non ci sarà riparazione, solo il vuoto”.
È la manifestazione estrema della violenza digitale, forse motivata da ragioni politiche — l’Ucraina è stata l’obiettivo primario — o semplicemente un esperimento di distruzione digitale su larga scala.
VI. Un’ombra lunga fino a oggi: NotPetya e la guerra (cyber) in Ucraina
NotPetya non è rimasto un caso isolato nei manuali di sicurezza informatica. È stato un prototipo, una prova generale per una nuova forma di guerra ibrida. L’Ucraina, infatti, è diventata negli anni successivi il bersaglio ricorrente di malware distruttivi con caratteristiche sospettosamente simili.
Nel 2022, nei giorni immediatamente precedenti all’invasione militare russa, sono comparsi nuovi wiper: WhisperGate, HermeticWiper, FoxBlade. Tutti con lo stesso copione: si fingono ransomware, ma non lo sono. Non chiedono un riscatto reale. Non offrono vie di uscita. Vogliono solo spegnere, distruggere, annullare.
È lo stesso spirito di NotPetya che riemerge, come un vecchio fantasma, adattato al nuovo contesto geopolitico. Cambiano i nomi, cambiano i binari del codice, ma la filosofia resta: cancellare come messaggio. Non un crimine informatico per guadagno, ma un atto di guerra mascherato.
Oggi sappiamo che dietro NotPetya c’era con ogni probabilità il gruppo Sandworm, collegato ai servizi militari russi (GRU). Gli stessi nomi tornano negli attacchi più recenti. E ancora una volta, il teatro preferito è l’Ucraina, vero laboratorio della guerra digitale del XXI secolo.
Chi guarda NotPetya con gli occhi di oggi, non vede solo un malware ben congegnato. Vede un paradigma. Un manuale di istruzioni per sabotare una nazione, rallentarne i sistemi, mettere in crisi ospedali, aeroporti, reti elettriche, senza sparare un colpo.
E forse è proprio qui che NotPetya è stato più efficace: non nel danno tecnico, ma nel messaggio politico. Distruggere le informazioni, per mostrare il potere.
VII. Ironia amara e insegnamenti per il futuro
C’è un’ironia amara in tutto questo: un malware che si finge ransomware per guadagnare più notorietà, o forse per confondere le acque, o ancora per eliminare informazioni finisce per ricordarci quanto siamo fragili di fronte alla nostra stessa tecnologia.
La vecchiaia del software, la pigrizia negli aggiornamenti, la fiducia cieca nel “funziona così da anni” sono il terreno fertile per la prossima catastrofe.
In fondo, NotPetya è una lezione filosofica camuffata da disastro tecnico: l’inazione è una scelta, e spesso la più pericolosa.
VIII. La morale (se esiste)
Aggiorna il sistema operativo.
Non usare software pirata o non ufficiale.
Fai backup regolari.
E, soprattutto, non credere troppo alle apparenze: non tutto ciò che sembra una richiesta di riscatto è davvero un riscatto.
Se non altro, in un mondo sempre più digitale, NotPetya ci insegna che la sicurezza è anche un atto di responsabilità verso se stessi e verso gli altri. Perché nel gioco delle ombre digitali, a perdere siamo tutti noi.
Fonti
- A. Chiu, New Ransomware Variant “Nyetya” Compromises Systems Worldwide, in CISCO, 27.06.2017
- G. Cluley, Smashing Security #031: Petya (don’t know the name of this ransomware), in “Graham Cluley”, 29.06.2017
- Editor, New WannaCryptor-like ransomware attack hits globally: All you need to know, in “We live security”, 27.06.2017
- GReAT, Schroedinger’s Pet(ya), in “SecureList”, 27.06.2017
- GReAT, From BlackEnergy to ExPetr, in “SecureList”, 30.06.2017
- A. Ivanov e O. Mamedov, ExPetr/Petya/NotPetya is a Wiper, Not Ransomware, in “SecureList” 28.06.2017
- D. Goodin, First known hacker-caused power outage signals troubling escalation, in “Ars Technica”, 4.1.2016
- D. Goodin, NotPetya developers may have obtained NSA exploits weeks before their public leak, in “Ars Technica”, 30.06.2017
- B. Krebs, ‘Petya’ Ransomware Outbreak Goes Global, in “KrebsonSecurity”, 27.06.2017
- R. Meggiato, Come funziona NotPetya, il nuovo ransomware che sta criptando migliaia di computer, in “Wired”, 28.06.2017
- msft-mmpc, New ransomware, old techniques: Petya adds worm capabilities, 27.06.2017
- A. Patel, Petya: “I Want To Believe”, in “F-Secure”, 29.06.2017
- M. Suiche, Petya.2017 is a wiper not a ransomware, in Comae, 28.06.2017
- M. Suiche, Petya— Enhanced WannaCry?, in Comae, 27.06.201
- CISA – Alert AA22-057A, https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a
- Microsoft Threat Intelligence – WhisperGate, https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
- ESET – HermeticWiper Report, https://www.welivesecurity.com/2022/02/23/hermeticwiper-ukraine-under-cyberattack/
- Dipartimento di Giustizia USA (DOJ) – Accuse al GRU (2020), https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and
- MITRE ATT&CK – Sandworm Team (G0034), https://attack.mitre.org/groups/G0034/
- Recorded Future – Analisi della continuità nei wiper russi, https://go.recordedfuture.com/hubfs/reports/mtp-2022-0512.pdf
Mandiant / Wired – Attività Sandworm durante la guerra in Ucraina, https://www.wired.com/story/russia-ukraine-cyberattacks-mandiant/