Diciamo che fino alle 18.18 e venti era Petya. Poi Costin Raiu, Director, Global Research & Analysis Team di Kaspersky Lab battezza il ransomware protagonista di questa nuovo attacco informatico su scala mondiale NotPetya. Come dire non sappiamo cosa è ma non di certo non è Petya. «I risultati preliminari – scrive l'azienda di sicurezza informatica russa - suggeriscono che non sia una variante del ransomware Petya al contrario di quanto pubblicamente riportato, ma un nuovo ransomware che non è mai stato visto prima. Ecco perché l'abbiamo chiamato NotPetya».

Un po' come dire «contrordine compagni, ci siamo sbagliati» ma le sorprese non sono finite. Fino ad allora gli esperti di cybersecurity avevano un po' tutti scommesso su Petya. Pochi minuti prima Gastone Nencini, Country Manager Trend Micro Italia scriveva: «Al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco. Il ransomware Petya utilizza la stessa vulnerabilità di WannaCry. I nostri laboratori hanno testato un attacco ed è importante sottolineare come le nostre soluzioni siano in grado di bloccare questo ransomware grazie alle loro capacità di machine learning. Questo anche in caso i sistemi non siano stati patchati dopo WannaCry. Le aziende che utilizzano la nostra tecnologia XGen sono al sicuro. Siamo pronti per rispondere al meglio a questo attacco».

Subito dopo Kaspersky aggiunge: «I dati dell'azienda indicano finora circa 2.000 utenti attaccati. Le organizzazioni in Russia e l'Ucraina sono le più colpite, e abbiamo registrato anche attacchi in Polonia, Italia, Regno Unito, Germania, Francia, Stati Uniti e diversi altri Paesi».

Alle 19.00 anche il team di ricerca di Check Point Software Technologies, azienda israeliana specializzata in sicurezza informatica, informa la stampa italiana che sta monitorando la situazione e scrive: «La maggior parte degli attacchi è avvenuta e sta avvenendo in Ucraina, coinvolgendo banche, uffici governativi e aziende private. Il malware utilizzato è ancora indefinito, ma alcuni ricercatori lo individuano come una variante di Petya, un tipo di malware che cripta l'intero hard drive, anziché ogni file singolarmente. L'analisi di Check Point segnala anche il coinvolgimento di Loki Bot per il furto di credenziali».

In serata però alcune certezze le abbiamo. Sappiamo che il ransomware, normalmente diffuso attraverso tecniche tradizionali come gli allegati ai messaggi di posta elettronica, si sta invece diffondendo attraverso la rete come un classico worm. Non ci sono conferme ma la vulnerabilità è del Service Message Block (Smb) di Windows. Parliamo quindi di una vulnerabilità corretta da Microsoft (i computer che utilizzano il sistema di aggiornamento automatico dovrebbero essere immuni agli attacchi di questo tipo). Se così fosse quanti computer sono ancora a rischio dopo l'attacco globale di maggio? E perché gli esperti e i grandi colossi della sicurezza informatica sembrano brancolare nel buio?

Inutile dare pagelle, o ragionare sulla gara di chi scopre prima origine e firma del malware protagonista di questo nuovo attacco su scala internazionale. Occorre invece prendere atto, e anche velocemente, che il processo di identificazione e di attribuzione di un attacco ramsomware non è solo una operazione complessa ma è il vero ventre molle di questa nuova strategia cyberbellica. Una componente di questa difficoltà è tecnica. I malware sono il prodotto di codici diversi, che possono provenire da server differenti di diversa nazionalità. Diventa così particolarmente facile mischiare le carte, depistare scrivendo magari alcune informazioni in lingua russa o usando tecniche proprie di una specifica banda di hacker. L'attribuzione degli attacchi prima ancora dell'identificazione del malware e della vulnerabilità che intende sfruttare è il vero terreno di confronto intorno al quale persiste una nebbia informativa non fittizia o mediatica ma reale. Come è avvenuto per Wannacry, ci vorrà tempo per capire come si è diffuso, in quanti hanno pagato e quanti computer ha colpito.

© Riproduzione riservata