Petya, il nuovo ransomware che fa paura

Petya è il nuovo ransomware che sta criptando migliaia di computer, ed è di sicuro uno dei malware più avanzati mai realizzati: oltre a bloccare il computer, ruba anche i dati personali. Partito dall’Ucraina e poi diramatosi in diversi Paesi tra i quali Usa, Russia, Francia, Germania, Danimarca, Spagna e India, ha probabilmente cominciato a fare la sua apparizione anche in Italia.

Il mese scorso c’era stato l’attacco basato sul ransomware WannaCry, ma in questi giorni è avvenuto un altro importante attacco basato su una variante del già noto rasomware Petya/Petrwrap. Si tratta di un ransomware, cioè un software nocivo che, una volta installato in un computer, lo blocca chiedendo un riscatto per farlo tornare al pieno delle sue funzioni. Come Wannacry, anche Petya è dotato della capacità di infettare un sistema aprendo l’allegato di una email, ma anche di propagarsi via Internet, andando a caccia di computer dotati della famigerata vulnerabilità SMBv1 di Windows. Tante similitudini, dunque, ma anche alcune differenze sostanziali che purtroppo rendono Petya ancora più efficiente di Wannacry.

Presenta dei punti in comune con WannaCry, visto che si basa sull’exploit sviluppato dall’Nsa Eternalblue il quale sfrutta una vulnerabilità del protocollo Server Message Block (Smb) e le macchine target sono quelle con a bordo Windows. Come nel caso di WannaCry, i cybercriminali vogliono il pagamento di un riscatto di circa 300 dollari in bitcoin. Le differenze sostanziali sono due, la nuova minaccia non cripta i file ma l’intero disco fisso.

Una volta che il sistema viene infettato, lascia trascorrere un tempo variabile tra i 10 e i 60 minuti prima di effettuare un reboot. I ricercatori di sicurezza affermano che per cercare di prevenire la compromissione del sistema potrebbe essere sufficiente spegnerlo prima che venga effettuato il reboot (ovviamente nel caso si abbia la consapevolezza di essere stati compromessi) e di mettersi nelle mani di un esperto di sicurezza che sappia come riavviare la macchina contenendo l’infezione.

Al momento non c’è la cura ma esiste un vaccino e, come tale, è utile solo su quelle macchine ancora non raggiunte dalla minaccia e che, a prescindere dalle emergenze, andrebbero sempre aggiornate così come andrebbero aggiornate le tracce virali degli antivirus. Ad oggi, a farne le spese sono stati oltre 12 mila computer, in Ucraina il ransomware ha paralizzato banche e il sistema elettrico di città come Ukrenego e Kyivenergo, anche l’aeroporto e la metropolitana di Kiev sono stati  interessati dall’attacco.

Tuttavia al momento i ricercatori non sono sicuri che il ransomware sia proprio Petya. Il modo in cui opera è simile, ma la sua analisi approfondita ha rivelato che si tratta di una sua variante, al punto che qualcuno azzarda il nome di NotPetya. La sua attivazione pare aver inizio al solito modo: si riceve un’email contenente il vettore d’attacco, cioè un allegato (di solito un documento) che, se aperto, lancia l’esecuzione di un dropper.

Attualmente altre notizie di attacchi ransomware sono state segnalate in tutta la Russia e nel Regno Unito. Petya ha raggiunto anche gli Stati Uniti interessando ad esempio il noto studio legale DLA Piper Global il quale riferisce che i propri computer e sistemi telefonici sono stati bloccati per la maggior parte della giornata.