Il primo tweet di allarme lo ha lanciato il 27 giugno Menlo Security, società californiana con sede a Menlo Park specializzata in cybersecurity: il ransomware Petrwrap/Petya sta colpendo governo, banche ed aeroporti ucraini, ed ha già raggiunto Spagna, Francia e India. Nel giro di poco tempo l’avviso si è diffuso in tutto il mondo, riportando alla memoria l’attacco realizzato da WannaCry che a maggio infettò oltre 250.000 computer e server in tutto il mondo. La variante di Petya che sta diffondendosi è infatti anch’essa un ransomware, ossia un software che chiede un riscatto per “liberare” il computer infettato. Petrwrap/Petya cripta i file della macchina promettendo di renderli di nuovo utilizzabili purché la vittima paghi un riscatto di 300 bitcoin, equivalenti ad oltre 6.000 dollari. Il criminale all’origine di questa infezione comunica con i ricattati attraverso la mail wowsmith123456@posteo.net, indirizzo che il provider tedesco Posteo ha prontamente disattivato.

L’anonimo ricattatore non è però necessariamente un abile informatico. Sul dark web, infatti, è possibile anche agli utenti più pigri impostare da soli il proprio virus da usare come arma di ricatto. In particolare, un sito con estensione .onion, raggiungibile con il browser Tor che garantisce un buon anonimato, aiuta passo dopo passo a costruire il proprio sistema di ricatto. La pagina in questione si chiama Satan, e per accedervi è sufficiente registrarsi indicando un nome utente e una password.

Effettuata la registrazione, si può personalizzare il proprio ransomware impostando alcune caratteristiche tramite una semplice interfaccia che permette ad esempio di decidere l’ammontare del riscatto richiesto per decrittare i file, ma anche se tale riscatto deve aumentare progressivamente – e di quanto -con il trascorrere dei giorni, in una sorta di gara al rialzo. In tutti i passaggi occorre ogni volta superare un test captcha, ossia decifrare le lettere e numeri che appaiono all’interno di un’immagine un po’ sfuocata, quasi che il programmatore voglia proteggere il suo sito dall’azione di robot. Il sito fornisce anche la traduzione in 23 lingue della mail con la quale si chiude il riscatto: dall’inglese al portoghese, passando per il serbo e l’italiano.

Una schermata della piattaforma di Satan
Una schermata della piattaforma di Satan

Una volta eseguiti tutti i passaggi si può scaricare il file maligno, e inviarlo alla vittima designata sperando che questi la apra. Il riscatto si paga naturalmente in moneta crittografica, ed è qui che nasce il business del servizio Satan: i bitcoin raccolti transitano infatti sul sito, e per ogni moneta guadagnata dal “pirata  fai da te” quest’ultimo deve versare una fee (sic) del 30% al programmatore delle pagine .onion. Programmatore che, comunque, specifica che sono previsti sconti qualora le macchine infettate e i riscatti arrivati siano molti.

Sul web sono disponibili alcuni tool per rimuovere il malware, anche se non esistono programmi per recuperare autonomamente i file colpiti in quanto questi sono crittati con crittografia a chiave asimmetrica Rsa-2048. E naturalmente non è affatto sicuro che il ricattatore, una volta estorto il denaro, mantenga la sua parola.

Il ransomware Satan non è l’unico esempio di virus fai da te scaricabile da internet. Sul web “chiaro” sono facilmente raggiungibili siti o applet che insegnano a programmare codici malevoli a fini di studio: piccoli programmi potenzialmente dannosi, anche se nella quasi totalità sono fermati dai normali antivirus. Ed è qui che, ancora una volta, si comprende la lezione cardine per la sicurezza informatica: l’unica maniera per tutelarsi davvero da virus e dai pirati fai da te è quella di usare buoni programmi antivirus eseguendo anche tutti gli aggiornamenti dei programmi che si usano.

Non è un caso che anche Petrwrap/Petya si basi su una vulnerabilità che aveva già un rimedio, ma che spesso non era stato installato.