Il 27 giugno 2017, le organizzazioni di tutto il mondo hanno iniziato a segnalare i disordini causati dall’attacco del ransomware NotPetya. Questa campagna ha avuto un impatto sulle aziende in almeno 65 Paesi, ma in particolare in Ucraina, che è stato l’obiettivo primario. A seguito degli attacchi, gli analisti di Mandiant Threat Intelligence hanno scoperto un legame tra queste aggressioni e il famoso gruppo russo State-Sponsored Sandworm, che dal 2015 ha eseguito molteplici attacchi con malware di tipo wiper contro le organizzazioni ucraine. Mentre le prime varianti di attacco semplicemente cancellavano le macchine delle vittime; nel 2017 con NotPetya gli aggressori hanno intensificato i loro attacchi introducendo una componente ransomware. NotPetya ha cambiato così la percezione del mondo del ransomware e l’impatto potenzialmente devastante che può avere sulle imprese.
L’attacco NotPetya è diventato una minaccia crescente e ha creato un nuovo precedente: ha mostrato infatti l’interesse del gruppo Sandworm nel causare danni collaterali più ampi rispetto agli immediati obiettivi ucraini, dato che il malware si stava diffondendo a livello globale. Sandworm rimane uno dei gruppi hacker più attivi e sofisticati. Hanno operato su diversi fronti, dagli attacchi distruttivi alle interferenze nei processi democratici e allo spionaggio informatico.
Cosa dovrebbero imparare le organizzazioni dall’attacco NotPetya?
NotPetya ha sottolineato la necessità di possedere resilienza, backup e preparazione, nonché l’importanza di poter rintracciare e identificare i colpevoli e comprendere le loro motivazioni. Per quanto riguarda ciò che si può fare per ridurre gli effetti di questi attacchi, in primo luogo, è essenziale che le patch siano rese disponibili rapidamente e che siano ampiamente adottate. Se una vulnerabilità scoperta può essere sfruttata, è molto probabile che gli aggressori la sfruttino e continuino a farlo fino a quando non verrà posto rimedio, infliggendo quindi danni notevoli. L’attacco NotPetya avrebbe potuto essere circoscritto assicurandosi che gli aggiornamenti software fossero stati eseguiti regolarmente, così come approfondite attività di assessment della sicurezza aziendale, specialmente attraverso la simulazione di compromissioni informatiche.