Sembra di rivivere le scene di un film di fantascienza

Il ransomware si evolve si ma come quello che pareva essere un futuro anche abbastanza remoto è diventato realtà: in tutto il mondo è ormai in atto una cyberguerra in cui l’obiettivo degli eserciti di malfattori e pirati sono enti pubblici, sistemi informatici e impianti industriali. In questo scenario, l’ultima arma di distruzione (informatica) di massa usata dai cybercriminali è stato il malware ExPetr (identificato anche come NotPetya), il ransomware che lo scorso 27 giungo ha iniziato a diffondersi in Ucraina sfruttando un bug presente nel software M.E.Doc usato per il pagamento online delle tasse e mandando in tilt i sistemi per il controllo delle radiazioni nucleari della centrale atomica di Chernobyl, per poi colpire in poche ore migliaia di aziende, e banche in particolare, anche in Francia, Spagna, Gran Bretagna Stati Uniti e Italia, con un chiaro intento geopolitico.

A Volte ritornano

Il nome di questo nuovo malware deriva dalla somiglianza con un altro pericoloso ransomware, Petya appunto, di diffusosi circa un anno fa. Ma ben presto gli esperti di sicurezza informatica si sono accorti che il nuovo ExPetr usava le stesse tecniche di attacco di WannaCry (ne parliamo nelle pagine precedenti) sfruttando l’exploit EternalBlue sviluppato dalla NSA americana, ma con una leggera differenza: mentre WannaCry lo usava per diffondersi su altri computer vulnerabili dopo avere eseguito una scansione su Internet, ExPetr lo usa solo all’interno delle reti locali. Come tutti gli altri ransomware, anche ExPetr chiede un riscatto per decriptare i dati delle vittime (300 dollari in Bitcoin), ma la particolarità è che l’indirizzo e- mail wowsmith123456@posteo. net al quale inviare l’indirizzo del proprio wallet con gli estremi del pagamento è in realtà già chiuso da tempo.