PetrWrap: ecco la versione “piratata” del ransomware Petya

Mar 15, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0

Individuato da Kaspersky, il nuovo ransomware sembra essere stato derivato da quello originale copiandone il codice sorgente.

Tra pirati informatici la lealtà è merce rara. L’ultimo esempio di “sgarro” operato nel mondo del cyber crimine è rappresentato dalla comparsa di quello che i ricercatori Kaspersky hanno battezzato con il nome di PetrWrap.

Si tratta di un ransomware che, secondo gli analisti, è stato derivato direttamente da Petya, una vecchia conoscenza del settore.

L’elemento interessante, però, è che stando a quanto dicono dalle parti di Kaspersky si tratterebbe di una versione “piratata” del celebre ransomware.

Petya è un crypto-ransomware che ha fatto parlare di sé a causa di una sua particolarità tecnica: il malware, infatti, attacca il settore MBR del disco fisso del PC, bloccando di fatto il sistema e chiedendo un riscatto in Bitcoin che la vittima deve pagare per ottenere il codice che consente di “sbloccare” il computer.

Questo, però, non è l’unico tratto distintivo di Petya. Il ransomware è stato uno dei primi ad adottare una strategia di diffusione basata sul concetto di “ransomware as a service”: i suoi autori, infatti, forniscono a chi lo desidera il binary del malware, affidandogli di fatto il compito di diffonderlo su Internet.

Sono invece gli autori a gestire la comunicazione con i server Command and Control e a incassare i proventi delle estorsioni. I “collaboratori” che si fanno carico di individuare e colpire le vittime vengono poi compensati con una percentuale sui riscatti che vengono pagati dalle vittime.

Nel caso di PetrWrap, sembra che qualcuno abbia fatto il furbo e sia riuscito a modificare il binary del malware per poterlo gestire in proprio.

Come spiegano i ricercatori di Kaspersky in un report dedicato al ransomware, PetrWrap sfrutta un sistema che gli consente di modificare il comportamento di Petya.

La richiesta di riscatto, come nel caso di Petya, viene visualizzata al riavvio del PC.

In sintesi, il malware sfrutta le porzioni di codice di Petya che gli servono, ma ne sostituisce alcune con dei moduli particolari che gli permettono di “mantenere il controllo” delle operazioni. In particolare utilizzando una chiave crittografica diversa da quella incorporata nel ransomware originale.

La logica di questa operazione è cristallina: senza questo accorgimento, gli autori di PetrWrap non potrebbero decifrare i dati crittografati dal malware.

Le modifiche rispetto al codice originale riguardano anche altri due elementi del ransomware e, in particolare, quelli che riguardano la visualizzazione della richiesta di riscatto (che non fa alcuna menzione di Petya) e quella che genera l’identificativo (ID) della macchina infetta, che consente ai cyber-criminali di gestire l’estorsione.

Purtroppo per noi, il resto del codice ricalca esattamente quello dell’ultima versione di Petya e, in particolare, ne riprende il sistema crittografico. Questo significa che, almeno per il momento, non c’è modo di scardinare la cifratura dei dati.

Condividi l'articolo