Un nuovo attacco hacker, un nuovo ransomware. Dopo Wannacry, il mese scorso, da un paio di giorno si è diffuso un nuovo virus che colpisce cifrando il contenuto del computer infetto, rendendo i file inaccessibili fino a un eventuale pagamento di riscatto in bitcoin, per un equivalente di 300 dollari. Nelle prime ore di diffusione il nuovo worm è stato definito Petya, vista la sua somiglianza con un virus con tale nome in circolazione dal 2016.

I TECNICI DI KASPERSKY LAB, poi, lo hanno considerato un software differente, rinominandolo NotPetya. Il primo paese colpito è stata l’Ucraina. Kiev ha accusato il Cremlino di esserne il responsabile.

Oltre a negare il coinvolgimento, la Russia è diventata poco dopo la seconda vittima del virus. Anche la centrale nucleare di Chernobyl è stata colpita, destando non poco clamore.

A essere infettato è stato il sistema di monitoraggio dei livelli di radiazione, passato «in manuale» per limitare i danni: non è compromesso il sistema di contenimento radiazioni. Da lì il virus si è diffuso in un centinaio di altri paesi.

COME IL SUO PREDECESSORE Wannacry, anche Petya sfrutta l’exploit Eternalblue, codice scritto dall’Nsa che sfrutta vulnerabilità dei sistemi Windows per realizzare attacchi informatici. Il programma è venuto alla luce quando il gruppo hacker The Shadow Brokers lo rese pubblico illegalmente il 14 aprile scorso; un mese prima del leak, il 14 marzo, Windows aveva già reso disponibile una patch di sicurezza per tutelarsi dall’attacco.

Questo significa che, sia con Wannacry sia con Petya molti danni si sarebbero potuti evitare con aggiornamenti, o utilizzando software open source come i sistemi operativi Linux, non contagiabile da questo exploit.

PETYA, rispetto a Wannacry, risulta più sofisticato. Oltre a crittare i file riesce a diffondersi su macchine connesse alla stessa rete di una macchina infetta – quello che viene definito «movimento laterale»: significa che se su una rete è presente un computer vulnerabile, gli altri computer connessi, anche se aggiornati, rischiano l’infezione.

Inoltre per Petya non ci sono scorciatoie per «rallentarlo»: la lotta al malware sembra più complicata. Vi sono anche piccole stranezze: nelle istruzioni per il pagamento del riscatto, si richiede di confermare via mail l’avvenuta transazione, cosa insolita per un malware scritto da professionisti.

IL PROVIDER POSTEO ha optato per chiudere tale casella, una scelta discutibile visto che ha reso impossibile comunicare l’avvenuto pagamento impedendo eventuali rilascio di chiavi. Si stima che il portafoglio bitcoin utilizzato per i pagamenti abbia raggiunto un equivalente di 8mila dollari.

Non si sa chi ha pagato e se ha ricevuto le chiavi di decrittazione. Di sicuro si sa che il virus si è diffuso tramite un sistema di aggiornamento di un software finanziario di una società ucraina, MeDoc, che spiegherebbe anche la prima diffusione nel paese.

Infine, questi episodi rischiano come sempre di riaccendere retoriche securitarie se non paternalistiche, rimettendo in crisi la già instabile neutralità della Rete.