Petya, il nuovo attacco globale del ransomware

Una nuova, virulenta epidemia di malware cripta-file sembra essere scoppiata in giro per il mondo. Un problema di non facile soluzione che potrebbe avere effetti comparabili a quelli di WannaCry

Roma – Una nuova variante del ransomware Petya è al momento in via di diffusione in un gran numero di Paesi in giro per il mondo, un attacco a poche ore dall’avvio viene già definito globale e che sembra aver tratto ben più di un’ispirazione dalla famigerata epidemia a opera di WannaCry . Il livello di pericolosità della nuova minaccia potrebbe essere persino maggiore, e la raccolta di profitti per gli ignoti cyber-criminali è già cominciata.

Petya è un malware cripta-file già noto da tempo, e che è altrettanto noto per l’utilizzo di un payload di codifica imperfetto che può essere attaccato per la decrittazione dei dati a costo zero . Purtroppo la nuova versione del ransomware in via di distribuzione non sembra soffrire dello stesso problema, ed è resa ancora più pericolosa grazie alle novità tratte dal succitato WannaCry (ma non solo).

Anche il nuovo Petya, infatti, ha integrato il famigerato exploit dell’intelligence USA noto come ETERNALBLUE e progettato per sfruttare un bug nel server SAMBA (SMB) dei sistemi Microsoft per infettare i PC connessi a Internet. Di suo, Petya ci mette la distribuzione aggiuntiva via email, la codifica dell’indice dei file nel file system NTFS (MFT) e la sostituzione del settore di boot del disco fisso (per le partizioni in standard MBR) con un boot loader custom pensato per stampare a video il testo con la richiesta di riscatto in Bitcoin.


Petya riavvia subito i sistemi infetti e rende quindi impossibile l’eventuale opera di disinfestazione da parte dei tecnici , un fatto che unito all’uso dell’exploit EternalBlue ha permesso al ransomware di diffondersi su migliaia di sistemi in poco tempo : la schermata con testo rosso che indica l’avvenuta infezione a opera di Petya è già comparsa nel Regno Unito, in Ucraina, in India, nei Paesi Bassi, in Spagna e in Danimarca.

Al momento l’Ucraina sembra essere il Paese con il numero di infezioni più esteso, mentre le organizzazioni coinvolte nell’infezione includono agenzie governative, aziende di trasporti, supermercati e altro ancora. Tra le strutture colpite c’è anche la centrale di Chernobyl ma la situazione è attualmente sotto controllo . Da Kiev, intanto si punta dritto il dito contro la Russia , sospettata di essere l’artefice di tale attacco.

Naturalmente, vista l’estensione della minaccia, è facile preventivare che sarà elevato il numero di soggetti interessati a pagare i cyber-criminali pur di risolvere velocemente il problema: in poche ore gli autori di Petya hanno già racimolato 2.000 dollari USA di profitti in Bitcoin, una cifra che i pupari di WannaCry avevano messo assieme in un intero giorno di attività.


A rendere ancora più complicato il contrasto al nuovo Petya, infine, è la mancata disponibilità di un “kill-switch” che, come in WannaCry, potrebbe fermare la proliferazione del malware con la registrazione di un server per il controllo remoto da parte dei criminali.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • porte chiuse scrive:
    finestre aperte
    Sono dei pensatori, i microsoffici.Un programma per la sicurezza che ha un grave baco di sicurezza...Sarebbe solo tragico se non fosse che l'azienda ci ha abituati a situazioni anche umoristiche.Tragicomsoft
    • Max scrive:
      Re: finestre aperte
      Ma guarda che qualunque software ha bug, più o meno gravi, e anche l'AV (fino a prova contraria) rientrando nella categoria non ne è immune. Tanto per citare un esempio, su uno dei più blasonati AV: http://punto-informatico.it/1321165/PI/News/kaspersky-dalla-russia-bug.aspxE anni fa ricordo che anche Symantec ebbe problemi analoghi, quindi..
      • porte chiuse scrive:
        Re: finestre aperte
        Ma lo so, Max...E' l'ironia della cosa, con l'aggiunta della tradizione per cui i prodotti microsoffice hanno sempre qualcosa che li smentisce.
  • prova123 scrive:
    Windows Defender tra bug e update
    Errata: Windows Defender tra bugie e update ... ...non era già perfetto un anno fa? :-o
    • biuan scrive:
      Re: Windows Defender tra bug e update
      - Scritto da: prova123
      Errata: Windows Defender tra bugie e update ...

      ...non era già perfetto un anno fa? :-oSi vede che tu non sei softwarista di mestiere.Il software non è mai perfetto, esiste una cosa che si chiama ciclo di vita e manutenzione. Anche il tuo dio linux è sottoposto a queste semplici regolette. Adesso lo sai così eviti interventi idioti.
  • ... scrive:
    tool di sicurezza
    Rappresentazione artistica di windows defender[img]http://thumbs.dreamstime.com/z/porta-nel-deserto-35770954.jpg[/img](anonimo)
    • ben10 scrive:
      Re: tool di sicurezza
      e pensare che quella porta è più utile di Windows Defender perché ha la non trascurabile funzione di funzionare davvero in qualcosa..nel fare ombra. 8)
    • ... scrive:
      Re: tool di sicurezza
      Troppo ottimista, visto che la presenza di Windows defender ha AGGIUNTO questa vulnerabilità ad un sistema che altrimenti non l'avrebbe avuta (certo, ne avrebbe avute altre, ma almeno non questa). Sarebbe come il cane da guardia che accompagna per mostrare dove si trova la cassaforte.
  • Fan innamorato di Bertuccia il macaco scrive:
    Experience
    C'è un dermatologo tra noi?Ogni volta che sento o leggo la parola "experience" vi viene un forte prurito... il più grande prurito di sempre!
  • mau scrive:
    umm...
    Software di sicurezza made in MS? Un paradosso.
    • bubba scrive:
      Re: umm...
      - Scritto da: mau
      Software di sicurezza made in MS? Un paradosso.oh e' da win Vista che Defender e' presente eh... mica da ieri (anche se e' da pacc8 che e' invasivamente integrato). E ha sempre funzionato benissimo :D :D
      • MicroShit Supporter scrive:
        Re: umm...
        - Scritto da: bubba
        - Scritto da: mau

        Software di sicurezza made in MS? Un paradosso.
        oh e' da win Vista che Defender e' presente eh...
        mica da ieri (anche se e' da pacc8 che e'
        invasivamente integrato). E ha sempre funzionato
        benissimo :D
        :DSi, co!e le reti antivalanga per prendere i moschini @^
  • Daniele scrive:
    Citazione
    "software di sicurezza"??????
Chiudi i commenti