FYI.

This story is over 5 years old.

Tecnologia

Gli hacker di NotPetya continuano a confondere le loro vittime

I responsabili del devastante attacco ransomware hanno spostato il loro portafoglio Bitcoin, e adesso chiedono ancora più soldi.
Immagine: Clint Catalyst/Flickr

Gli hacker reponsabili del devastante attacco ransomware che ha paralizzato l'Ucraina e colpito moltissimi computer in tutto il mondo hanno dato altre notizie di sé online. I Bitcoin inviati agli hacker dalle loro vittime sono stati spostati dal portafoglio online che era stato indicato per le transazioni mentre qualcuno di non meglio identificato, apparentemente connesso al gruppo, si è messo a chiedere ancora più soldi per il riscatto.

Pubblicità

Il 28 giugno, un gruppo di hacker di identità ignota ha scatenato un attacco di ransomware sfruttando anche dei finti aggiornamenti software provenienti da un'azienda ucraina di software finanziari. L'attacco ha colpito diverse società ucraine, l'agenzia internazionale DLA Piper, la società britannica di pubblicità e public relations WPP e altre migliaia di società. Gli hacker hanno usato una variante del ransomware noto come Petya, per questo alcuni ricercatori di sicurezza hanno battezzato l'ultimo virus NotPetya.

Nonostante la grande diffusione e il potenziale dannosso del ransomware, che fanno intendere sia stato creato da hacker esperti, il pagamento del riscatto per le vittime non è stato facile. Infatti alcuni ricercatori sono giunti alla conclusione che l'obiettivo reale degli hacker sia quello di danneggiare i computer, fingendo di infettarli con il ransomware. In altre parole, gli hacker non sono interessati tanto a guadagnare soldi quanto piuttosto a fare più danni possibile.

Tuttavia, con un autentico colpo di scena, martedì gli hacker hanno dato il loro primo segno di vita da quando si è svolto l'attacco.

Alle 22:10 UTC, gli hacker hanno svuotato il portafoglio di bitcoin che usavano per ricevere i pagamenti di riscatto, spostando più di 10.000 dollari su un altro portafoglio. Qualche minuto prima hanno anche inviato due piccoli pagamenti ai portafogli bitcoin di Pastebin e DeepPaste, due siti web che consentono di pubblicare testi online, utilizzati talvolta dagli hacker per diffondere i loro comunicati.

Pubblicità

Alle 21:23 UTC e alle 21:20 UTC, circa 11 minuti e 12 minuti prima che gli hacker effettuassero le due donazioni, qualcuno che sostiene di essere dietro a NotPetya ha pubblicato un annuncio su DeepPaste e Pastebin.

L'annuncio pubblicato su DeepPaste.

Gli autori dell'annuncio hanno chiesto 100 bitcoin (che mentre scriviamo valgono circa 256.000 dollari) in cambio della supposta chiave privata che dovrebbe decrittare qualsiasi file crittografato con il ransomware NotPetya. Curiosamente, gli autori non hanno fornito un indirizzo bitcoin presso cui inviare il pagamento, ma hanno pubblicato un collegamento a una chat sul dark web attraverso cui contattarli.

In un'intervista tenuta nella chatroom, qualcuno che sosteneva di essere uno degli hacker ha detto a Motherboard che il prezzo richiesto era così alto perché serve per pagare la chiave che "decripta tutti i computer."

"Siete interessati alla mia offerta?" Ci ha chiesto, offrendosi di decriptare gratuitamente un file come prova.

Motherboard non può confermare che le persone che hanno pubblicato l'annuncio, così come quelle della chat, fossero gli hacker di NotPetya. Assistiti da un ricercatore di sicurezza, abbiamo girato ai presunti hacker un file crittografato e il corrispondente file readme.txt creato con NotPetya, ma i presunti hacker non ci hanno inviato immediatamente il file decriptato.

Matt Suiche, un ricercatore di sicurezza che ha analizzato NotPetya, era scettico riguardo a quanto dichiarato dai presunti hacker, essendo convinto che stavano solo "trollando i giornalisti."

"Si tratta di un caso che specula sulla paura, l'incertezza e il dubbio," ha spiegato a Motherboard in una chat online, Suiche, fondatore di Comae Technologies. "Un tentativo evidente da parte degli aggressori di cercare di confondere ulteriormente il pubblico, vogliono modificare nuovamente quello che sappiamo su questo ransomware."

A questo punto, non è chiaro se i creatori di NotPetya siano le stesse persone che hanno pubblicato l'annuncio e chiesto 100 bitcoin. Ma per la prima volta dall'avvenimento, chiunque controlli il portafoglio NotPetya ha sicuramente spostato il denaro, procurando un nuovo grattacapo ai ricercatori, alle forze dell'ordine e a chiunque altro sia sulle tracce degli hacker.