Allarme Petya: nuovo attacco ransomware con riscatto

29 giugno 2017
Pubblicato in ICT News

Dopo WannaCry arriva Petya, aziende ancora sotto attacco in tutto il mondo. Ecco come difendersi.

Del nuovo ransomware che nelle ultime ore ha messo in ginocchio migliaia di computer fra Ucraina, Russia e altri paesi UE (tra cui l’Italia) si sa ancora poco. Anche il vero nome del malware è diventato un caso (in principio era Petya, poi NotPetya / SortaPetya / Petna, a causa delle diverse estrazioni del codice). Quello che si sa per certo è che la nuova minaccia ha molte cose in comune con WannaCry, il ransomware che qualche settimana fa ha colpito circa 200mila personal computer in tutto il mondo. Come per WannaCry c’è una richiesta di riscatto in Bitcoin, c’è l’utilizzo dell’exploit EternalBlue (quello trafugato dagli storage della NSA), e c’è il sistema operativo Windows come vittima designata.

Petya è un malware cripta-file già noto da tempo, e che è altrettanto noto per l’utilizzo di un payload di codifica imperfetto che può essere attaccato per la decrittazione dei dati a costo zero. Purtroppo la nuova versione del ransomware in via di distribuzione non sembra soffrire dello stesso problema, ed è resa ancora più pericolosa grazie alle novità tratte da WannaCry (ma non solo).

Anche il nuovo Petya, infatti, ha integrato il famigerato exploit dell’intelligence USA noto come ETERNALBLUE e progettato per sfruttare un bug nel server SAMBA (SMB) dei sistemi Microsoft per infettare i PC connessi a Internet. Di suo, Petya ci mette la distribuzione aggiuntiva via email, la codifica dell’indice dei file nel file system NTFS (MFT) e la sostituzione del settore di boot del disco fisso (per le partizioni in standard MBR) con un boot loader custom pensato per stampare a video il testo con la richiesta di riscatto in Bitcoin.

Petya riavvia subito i sistemi infetti e rende quindi impossibile l’eventuale opera di disinfestazione da parte dei tecnici, un fatto che unito all’uso dell’exploit EternalBlue ha permesso al ransomware di diffondersi su migliaia di sistemi in poco tempo: la schermata con testo rosso che indica l’avvenuta infezione a opera di Petya è già comparsa nel Regno Unito, in Ucraina, in India, nei Paesi Bassi, in Spagna e in Danimarca.

Al momento l’Ucraina sembra essere il Paese con il numero di infezioni più esteso, mentre le organizzazioni coinvolte nell’infezione includono agenzie governative, aziende di trasporti, supermercati e altro ancora. Tra le strutture colpite c’è anche la centrale di Chernobyl ma la situazione è attualmente sotto controllo. Da Kiev, intanto si punta dritto il dito contro la Russia, sospettata di essere l’artefice di tale attacco.

Naturalmente, vista l’estensione della minaccia, è facile preventivare che sarà elevato il numero di soggetti interessati a pagare i cyber-criminali pur di risolvere velocemente il problema: in poche ore gli autori di Petya hanno già racimolato 2.000 dollari USA di profitti in Bitcoin, una cifra che i pupari di WannaCry avevano messo assieme in un intero giorno di attività.

A rendere ancora più complicato il contrasto al nuovo Petya, infine, è la mancata disponibilità di un “kill-switch” che, come in WannaCry, potrebbe fermare la proliferazione del malware con la registrazione di un server per il controllo remoto da parte dei criminali.

Come difendersi

Ma come ci si difende da un malware come Petya? Innanzitutto è basilare tenere il sistema operativo (in questo caso Windows) sempre aggiornato. Ma anche fare più copie dei file che si reputano importanti e conservarle su hard disk esterni o memorie USB, è una buona abitudine. Così come utilizzare servizi di cloud computing che consentano l’archiviazione su server sicuri, on line, dei file che non si vogliono perdere.

Non conoscendo ancora perfettamente come agisce il nuovo ransomware è impossibile elaborare una strategia difensiva. Per il momento si deve temporeggiare e aspettare che qualche società di sicurezza informatica riesca a fermare l’attacco.
L’unico strumento nelle mani degli utenti è quello della prevenzione. Come abbiamo visto, il virus del riscatto sfrutta una falla presente in un protocollo di Windows: l’azienda di Redmond aveva già risolto questo problema nel mese di marzo, purtroppo moltissimi utenti non avevano installato l’aggiornamento.

Molto spesso per difendersi basta un po’ di attenzione e seguire delle semplice regole:

  • Aggiornare costantemente il proprio sistema operativo e l’antivirus
  • Non cliccare sui link che provengono da persone che non si conoscono o che non si ritengono affidabili
  • Non cliccare sui banner pubblicitari poco chiari
  • Non aprire mail provenienti dagli sconosciuti
  • Non scaricare gli allegati che non si ritengono sicuri
  • Effettuare costantemente il backup dei dati in modo da essere sempre al sicuro
Non pagare il riscatto

Come detto, Petya appartiene alla categoria dei ransomware, famiglia di malware che bloccano i personal computer e chiedono un riscatto (solitamente in bitcoin) per renderli di nuovo utilizzabili. Nonostante in molti casi la strada del riscatto possa sembrare la più immediata (soprattutto nei casi di attacchi contro aziende che hanno necessità di sblocchi immediati per non fermare un ciclo produttivo), è anche quella meno consigliabile. Un attacco con ransomware ha origine ignota. È quasi impossibile sapere chi c’è dall’altra parte del tavolo e capire se sta barando. Le statistiche raccontano che molto spesso, nonostante il riscatto pagato, il computer rimane inutilizzabile.

Logo

STAI UTILIZZANDO UNA VERSIONE DI INTERNET EXPLORER NON SUPPORTATA

Per navigare sul nuovo sito TWT è necessario aggiornare l’attuale browser con una versione supportata o scaricare l’ultima versione di Chrome, Firefox, Safari, Internet Explorer o Edge.

Per maggiori informazioni o per ricevere assistenza tecnica:
Numero verde: Aziende 800.192.800 – Reseller 800.192.888 Opzione 1 e 2
Email: support-direct@twt.it

YOUR WEB BROWSER IS NO LONGER SUPPORTED

If you’d like to use TWT new website we recommend you to download the latest version of Chrome, Firefox, Safari, Internet Explorer or Edge.

For further Information or Technical Assistance:
Freephone numbers: Companies 800.192.800 – Resellers 800.192.888 Option 1 and 2
E-Mail: support-direct@twt.it

Browser