Gli autori di Petya, il ransomware che a fine giugno ha attaccato computer e sistemi industriali di diversi Paesi del mondo, si sono fatti vivi nel dark Web. Sul servizio di annunci DeepPaste, accessibile soltanto tramite Tor, è comparso un messaggio con cui si mette a disposizione la chiave per decifrare i file bloccati da Petya dietro il pagamento di 100 bitcoin, pari a circa 250mila dollari. A conferire veridicità all’annuncio è la presenza di un file segnato con la chiave privata del ransomware, il che spazza il campo da qualsiasi dubbio sull’autenticità della fonte. Al momento sembra che nessuna vittima del programma malevolo abbia pagato, in quanto la catena che registra tutte le transazioni in bitcoin del mondo non ha rilevato un movimento di quell’entità.
Utilizzare la chiave messa a disposizione dagli hacker, comunque, non “riporterà in vita” completamente i dischi colpiti da Petya. Il malware, infatti, oltre a cifrare i file è in grado di danneggiare in modo irreversibile alcune parti del master boot record dei drive. Ecco perché alcune società di sicurezza, come Comae, hanno preferito identificato la minaccia come wiper, piuttosto che come ransomware.
La domanda che sorge spontanea ora è: come mai i pirati informatici si sono fatti vivi soltanto in queste ore, a distanza di quasi dieci giorni dall’attacco? La maggior parte delle aziende colpite ha ormai ripreso a funzionare a pieno regime e non tutti sono disposti a spendere 250mila dollari per riavere i propri file. È interessante inoltre notare come l’unico portafoglio creato dagli hacker per i pagamenti in bitcoin (segno che gli autori dell’attacco sono probabilmente dei principianti) sia stato svuotato.
I 10mila dollari presenti sul conto sono stati infatti spostati verso una destinazione ignota. Forbes ha tracciato due piccole donazioni del valore di 0,1 bitcoin a Pastebin e DeepPaste, servizi spesso utilizzati dai pirati informatici, poi il portafoglio è stato completamente svuotato. Ad oggi non è stato ancora possibile identificare gli autori dell’attacco, né stabilire la vera essenza di Petya.
Il messaggio pubblicato su DeepPaste
Kaspersky Lab, per esempio, lo chiama ExPetr o NotPetya per distinguerlo dalla versione del programma malevolo in circolazione già nel 2016. Eurosystem, azienda It del nostro Paese, aveva allertato le aziende con un webinar, curato dall’ex hacker Athos Cauchioli, in cui si mostrava il meccanismo di azione del malware.