Si chiama Petya, ed è un massiccio attacco ransomware che ha colpito – e sta colpendo tuttora – l’Europa, dalla Danimarca all’Ucraina passando per il Regno Unito. Le modalità ricordano da vicino quelle dell’attacco di WannaCry del mese scorso, ma ciononostante vi sarebbero vittime illustri: aziende (come Mars e Nivea), centrali elettriche, società di telecomunicazione e persino i sistemi di monitoraggio della centrale nucleare di Chernobyl.
Petya blocca i computer crittografando il Master Boot Record (MBR) dei sistemi, rendendo inaccessibili i file per poi chiedere un riscatto di 300 dollari in Bitcoin. “Questo sembra essere un attacco complesso che coinvolge diversi vettori d’attacco. Possiamo confermare che un exploit modificato EternalBlue è utilizzato per la propagazione almeno all’interno delle reti aziendali”, dice Costin Raiu, Director, Global Research & Analysis Team di Kaspersky Lab.
“I risultati preliminari suggeriscono che non sia una variante del ransomware Petya al contrario di quanto pubblicamente riportato, ma un nuovo ransomware che non è mai stato visto prima. Ecco perché l’abbiamo chiamato NotPetya”, aggiunge Kaspersky, anche se la situazione è ben lungi dall’essere chiara e per ora tutti parlano di Petya.
Petya parrebbe quindi in grado di sfruttare la vulnerabilità del Service Message Block (SMB) di Windows presa di mira da WannaCry e derivata appunto dal tool di hacking EternalBlue, sviluppato dall’NSA e distribuito su Internet dal gruppo hacker Shadow Brokers.
Rimane da capire quindi quanti siano i PC in circolazione vulnerabili alla falla di Server Message Block (SMB) di Windows. La vulnerabilità, in teoria, è stata infatti corretta da Microsoft e i computer che utilizzano il sistema di aggiornamento automatico dovrebbero essere immuni agli attacchi di questo tipo. La teoria spesso però non combacia con la pratica e potrebbero essere migliaia i sistemi vulnerabili, soprattutto in ambito aziendale, dove gli aggiornamenti non sono celeri.
“Consigliamo a tutte le aziende di aggiornare il loro software Windows e verificare di avere effettuato il back up dei propri dispositivi e che la soluzione di rilevamento dei ransomware sia in esecuzione”, aggiunge Kaspersky.
Gastone Nencini, Country Manager Trend Micro Italia, affermava nelle scorse ore che “al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco. Il ransomware Petya utilizza la stessa vulnerabilità di WannaCry”.
Gli utenti e le organizzazioni possono seguire i seguenti passaggi per cautelarsi: applicare la patch di sicurezza MS17-010; disabilitare il TCP port 445; limitare gli account con l’accesso al gruppo di amministratori.
fonte: https://www.tomshw.it