28/06/2017
Attacco hacker in corso, coinvolte Chernobyl, Moller-Maersk e Saint Gobain.
Un pesante attacco hacker che utilizza un “ransomware” (codice malevolo che richiede un riscatto per essere eliminato) sta colpendo società ed enti governativi in diversi Paesi del mondo.
L’attacco ha colpito inizialmente banche e società ucraine, con ripercussioni anche alla centrale nucleare di Chernobyl. In seguito sono state coinvolte anche società nel resto del mondo, come l’agenzia pubblicitaria britannica Wpp, il colosso dei trasporti marittimi Moller-Maersk e l’impresa di materiali edili francesi Saint Gobain. La farmaceutica Merck Sharp & Dome è stata la prima compagnia USA ad aver confermato di essere stata attaccata: «Confermiamo che la nostra rete di computer è stata compromessa oggi come parte dell'attacco hacker globale», ha detto l'azienda su Twitter. «Stiamo indagando e forniremo informazioni addizionali non appena le avremo», ha aggiunto.
Come rende noto la Banca centrale d'Ucraina, a causa dell'attacco, i passeggeri della metropolitana di Kiev non hanno potuto pagare con carte di credito e di debito ed alcuni istituti di credito hanno dovuto sospendere parte dei servizi erogati ai propri clienti. «La Banca nazionale d'Ucraina ha segnalato alle banche ed altri operatori del mercato finanziario un attacco informatico contro i siti di banche del Paese ed imprese pubbliche e commerciali», è
riportato nella nota dell'istituto centrale, nella quale si spiega che in seguito all'attacco «le banche hanno avuto difficoltà a seguire i loro clienti ed a portare a termine alcune operazioni».
Anche il gigante petrolifero russo Rosneft si è detto vittima di un «potente attacco informatico» ai propri server. «L’attacco avrebbe potuto portare a serie conseguenze, ma grazie al fatto che la società è passata a sistemi di backup per controllare i processi, né la produzione né la preparazione hanno
subito dei fermi», ha precisato la stessa Rosneft in una email. Sempre in Russia, i sistemi informatici dell'amministrazione presidenziale a Mosca funzionano «regolarmente». Lo ha detto il portavoce del Cremlino Dmitri Peskov riportato dall’agenzia Tass.
Colpita Chernobyl. I tecnici: «I sistemi interni funzionano»
L’attacco ha colpito anche la centrale nucleare di Chernobyl, come riporta il sito ucraino Kromadske. Secondo l'Agenzia nazionale per la gestione della zona contaminata, i sistemi interni alla centrale «funzionano regolarmente» e invece sono «parzialmente fuori uso» quelli che monitorano «i livelli di radiazione». Il sito della centrale elettrica è inoltre inaccessibile. L’Agenzia sottolinea anche che «tutti i sistemi tecnologici della centrale funzionano normalmente», ma «a causa della disconnessione temporanea del sistema Windows, il monitoraggio delle radiazioni nella zona industriale si svolge in modo manuale». «Il sistema automatico di controllo delle radiazioni nella zona di contaminazione funziona normalmente», precisa l'ente pubblico ucraino.
In Italia cosa succede?
Dario Bruno, esperto di sicurezza informatica, afferma che proprio l'Italia è il Paese, dopo l'Ucraina, più colpito dal virus. Secondo i ricercatori di Eset, prosegue Dario Bruno, in Ucraina al momento è stato registrato il 78% delle rilevazioni, in Italia il 10% e, a seguire ci sono Israele (5%), Serbia (2%) poi Romania, Stati Uniti, Lituania e Ungheria con l'1% delle rilevazioni. Secondo Dario Bruno, inoltre, il focolaio da cui è partita l'epidemia sarebbe un aggiornamento di MeDoc, un software per la contabilità compromesso dai cyber-criminali, molto utilizzato dalle aziende Ucraine tra cui istituzioni finanziarie, aeroporti e metropolitane.
Ci sentiamo comunque di tranquillizzare i nostri clienti, conclude Dario Bruno, perchè anche questa volta gli apparati che produciamo, primo fra tutti HystriX, hanno protetto efficacemente i sistemi dei nostri clienti.
Kiev accusa la Russia, ma poi ritratta
Il governo di Kiev, che inizialmente aveva accusato direttamente la Russia del cyberattacco, ora ha fatto un mezzo passo indietro: infatti i servizi di sicurezza ucraini non hanno ancora formulato ipotesi. Lo ha detto la portavoce dell'SBU, Olena Ghitlianska, alla tv Hromadske, sottolineando che l'idea che l'attacco sia partito dalla Russia, espressa in precedenza, era in realtà una sua «opinione personale». Poco prima anche il ministro delle Infrastrutture ucraino, Volodimir Omelian, aveva puntato indirettamente il dito contro Mosca: «Non è un caso che la parola 'virus' finisca in 'rus'», e il consigliere del ministro dell'Interno ucraino Zoryan Shkiriak aveva dichiarato: «Credo non ci sia nessun dubbio che dietro a questi 'giochetti' ci sia la Russia perché questa è la manifestazione di una guerra ibrida».
Anche il segretario del Consiglio di Sicurezza e della Difesa ucraino Oleksandr Turchynov si era sbilanciato: «già ora, dopo un'analisi preliminare del virus, si può parlare di una traccia russa», aveva detto. Il premier ucraino Volodomyr Groysman ha invece dichiarato tramite Facebook: «Un attacco hacker senza precedenti ha colpito l'Ucraina, ma i nostri specialisti informatici fanno il loro lavoro e proteggono le infrastrutture cruciali. I sistemi vitali non sono stati danneggiati, l'attacco verrà respinto e i responsabili saranno individuati».
Colpita anche la francese Saint Gobain
L'impresa Saint Gobain, colosso nel settore della costruzione di materiali edili, ha fatto sapere di essere stata attaccata. Il portavoce dell'azienda ha dichiarato a Bfmtv che «sono stati isolati i sistemi informatici infetti». Colpiti anche undici negozi Auchan in Ucraina e i fornitori del gruppo, insieme alla Sncf, l'azienda di trasporto ferroviario francese, che in un comunicato ha dichiarato di aver «contenuto la minaccia».
Commissione UE: stiamo monitorando
«Stiamo monitorando da vicino gli attacchi hacker «che hanno colpito varie compagnie in Ucraina e in UE. Al momento non abbiamo alcuna indicazione che la Commissione o altre istituzioni dell'Unione siano state interessate», spiega un portavoce della Commissione Europea. «Il Centro per la lotta al cybercrimine di Europol sta valutando la situazione ed è in contatto con le unità corrispondenti negli Stati membri e con i partner principali del settore, per stabilire la piena natura di questo attacco», aggiunge il portavoce.
«Questo nuovo vasto cyberattacco mostra ancora una volta la necessità urgente di maggiore cooperazione”, sottolinea inoltre il vicepresidente della Commissione Ue per il mercato digitale Andrus Ansip. «Parleremo della imminente revisione della strategia europea sulla cybersicurezza prevista per settembre domani al collegio dei commissari», aggiunge Ansip.
Gli esperti: è un “ransomware”
Secondo alcuni esperti l'attacco odierno potrebbe essere un attacco “ransomware”, simile al cyberattacco Wannacry avvenuto circa un mese fa e che ha colpito tutto il globo. L'attacco ransomware è quello sferrato con un virus che rende inaccessibili i dati dei pc ed i sistemi informatici tenendoli in ostaggio, con lo scopo di estorcere denaro alle vittime per sbloccarli.
Alan Woodward, uno scienziato informatico alla Surrey University ha affermato che l'attacco odierno «sembra essere una variante di un ransomware emerso lo scorso anno, poi aggiornato all'inizio del 2017 dai pirati informatici dopo che alcuni aspetti del virus erano stati sconfitti. Il ransomware si chiamava Petya». Un'agenzia del governo svizzero ha riferito di avere notato segnali di Petya che stanno circolando nuovamente. Petya aveva colpito nel marzo del 2016 società petrolifere russe e società governative ucraine, di trasporti ed energia, chiedendo un riscatto in cripotovaluta.
*Da dove è partito questo ransomware?
Non si sa esattamente da dove sia originato, alcune voci parlano dell’Ucraina, semplicemente perché la prima fonte d’infezione sembra essere stata un finto update del software di contabilità MeDoc utilizzato appunto in Ucraina.
Symantec: Utilizzato uno strumento rubato alla NSA
La variante del virus Petya, responsabile del massiccio attacco hacker in corso in queste ore, userebbe EternalBlue, uno strumento rubato alla NSA. Lo scrive in un tweet Symantec, società specializzata in sicurezza. EternalBlue è un codice d'attacco, in gergo 'exploit', che ha armato anche il ransomware Wannacry. Eternalblue era originariamente usato dall'Agenzia nazionale per la sicurezza USA, la NSA. Nel caso di Wannacry la cyber arma ha sfruttato una vulnerabilità presente in un software di Microsoft (che poi ha corretto la falla) ed è stata messa online da un misterioso gruppo di hacker di nome Shadow Brokers, che in qualche modo ha sottratto una serie di strumenti digitali all'agenzia USA per poi metterli online.
Quali sono i danni lasciati sui PC infetti da questo ransomware?
Il nuovo NotPetya, dopo aver compromesso l’MBR del disco ne cripta l’MFT, cioè l’indice dove il sistema tiene traccia di quali file sono stati scritti sul PC e dove si trovano. Voci di corridoio dicono che, prima di criptare l’MFT, il ransomware cripti anche direttamente alcuni file sul sistema. Fatto sta che al termine del processo di cifratura il Sistema Operativo non si avvia più (quindi è impossibile utilizzare il PC infettato per pagare il riscatto).
NotPetya riesce a ricavare le credenziali di accesso del PC dalla memoria e le utilizza per connettersi, tramite il servizio PsExec, ad altri PC nella stessa rete per infettarli.
