Ransomware Petya

Il caso del virus Petya

Quando si parla di cybersicurezza molti sono ancora impreparati. Eppure si tratta di un tema particolarmente dolente al giorno d’oggi. Uno di quelli che dovrebbe riguardare tutti. Anche per via del virus Petya, che nell’ultimo periodo sembra aver fatto non pochi danni ai sistemi di difesa degli Stati (i più colpiti sono la Polonia e l’Ucraina) e delle aziende. L’infezione di Petya per molti aspetti ricorda il virus precedente, WannaCry. Sono state registrate molte infezioni anche in Italia, sebbene più deboli rispetto all’attacco del virus in Ucraina e Russia.

L’esponenziale aumento degli attacchi e della loro complessità ha fatto pensare a una nuova cyberguerra: un conflitto mondiale tra hacker. Non è il caso di Petya, però, il cui unico fine sembra essere stato quello di bloccare i sistemi informatici salvo poi chiedere il riscatto. Un’azione che ha ottenuto dei risvolti positivi per l’ideatore del virus Petya, la cui identità è tutt’ora sconosciuta alle autorità ufficiali. Ma che ha anche evidenziato le enormi falle nei sistemi di difesa degli organi Statali, in quanto non si è affatto trattato di un attacco complesso. Sebbene dei danni ben peggiori siano stati evitati, resta comunque caldo l’argomento dell’intrusione stessa. Come è avvenuta? Quali buchi difensivi sono stati utilizzati? La principale porta d’accesso, se così la si vuole chiamare, per il gruppo di malfattori è stata rappresentata dall’ormai nota Windows SMB Vulnerability, presente nel protocollo Remote Desktop Protocol. Per propagarsi su altri sistemi l’infezione ha fatto un ampio utilizzo dei comandi PSExec e WMI. Considerando tutto questo, cosa è possibile fare per difendersi dai cyberattacchi di questo genere che, senz’ombra di dubbio, avverranno in futuro?

Innanzitutto bisognerebbe imparare la lezione e finalmente risolvere i problemi legati a questi aspetti. Un processo che deve avvenire spontaneamente, al di fuori delle certificazioni di difesa come quella ISO 27001 che comunque risulta essere insufficiente per costruire un sistema di difesa completo. Per questo la difesa deve basarsi sui punti vulnerabili scoperti nella CIA o nella NSA. Quindi per tentare di prevenire gli attacchi è possibile aggiornare le proprie versioni di Windows. Questo può creare diversi problemi di compatibilità durante l’applicazione del custom. Non bisogna sottovalutare gli aggiornamenti Windows, quindi. Inoltre bisognerebbe anche prestare attenzione a delle specifiche norme da introdurre in Italia per evitare che in futuro si verifichino nuovamente dei casi come quello di Petya. Una specie di vaccinazione obbligatoria per tutti i computer: un processo che renderebbe più sicuro il sistema. Un approccio del tipo cybersecurity basato sul patch management in grado di evitare l’intrusione nel sistema. Grazie alle attività della Cyber Threat Intelligence è possibile anticipare l’identificazione del virus, fornendo agli analisti e agli incident responder un modo per eliminare la minaccia dal sistema. Aumentando l’informazione specializzata, insomma, si potrà intervenire in maniera accurata e tempestiva.

Nel futuro le minacce cibernetiche saranno le stesse. Le varianti del codice come Petya e Wannacry verranno unite al continuo riutilizzo dei principali vettori di attacco. Difficilmente si riuscirà a trovare nell’immediato un modo utile per resistere a questi tipi di attacchi. Si potrà intervenire tempestivamente per minimizzare la probabilità che il virus infetti il sistema. Sarà necessario unire i nuovi sistemi di difesa alla strategia. Solo in questo modo l’entità degli attacchi potrebbe diminuire nel corso del tempo, così come la loro concentrazione. Altresì è augurabile una nuova azione sul piano legislativo, chiamata a tutelare i sistemi informatici e impaurire i futuri hacker fermandoli prima che possano compiere azioni nocive ai danni del sistema informatico.