Petya Ransomare: di che si tratta e come funziona l'attacco informatico

Petya Ransomare: di che si tratta e come funziona l’attacco informatico

Una nuova forma di ransomware, chiamata Petya, ha creato molti problemi colpendo aziende come WPP, la compagnia di navigazione Maersk e persino la centrale nucleare di Chernobyl.
È il secondo attacco pesante di ransomware quest’anno dopo l’attacco WannaCry che ha paralizzato molti paesi a maggio. Come tutti i ransomware, Petya blocca i file sui computer infetti e richiede un riscatto prima di essere restituiti.
Finora, la Russia e l’Ucraina sembrano essere i paesi più colpiti, anche arrivano rapporti di paesi in Europa e negli Stati Uniti che hanno i server infettati.
Petya si sta diffondendo rapidamente attraverso la rete, sfruttando una vulnerabilità nel sistema operativo Windows di Microsoft.

I responsabili chiedono un pagamento di 300 dollari in Bitcoin digitale non tracciabile. Come per tutte le richieste di riscatto, non c’è garanzia che i file verranno restituiti dopo il pagamento e gli esperti consigliano cautela nei confronti del trasferimento del denaro.
Attualmente, gli esperti di sicurezza informatica ​​sono in grado di accertare l’entità dell’infezione di Petya e se è possibile fermare il ransomware.

Che cosa è il ransomware?

Ransomware è un particolare tipo di virus o worm che si diffonde rapidamente e autonomamente attraverso una rete di computer.
L’obiettivo primario è quello di bloccare i file sensibili dietro la crittografia avanzata e il pagamento della richiesta prima di essere restituiti al proprietario.
Spesso, il pagamento viene gestito in forma anonima attraverso una moneta digitale non tracce come Bitcoin.

Come funziona il ransomware di Petya?

Come il ransomware WannaCry, Petya sfrutta una vulnerabilità in Windows. Secondo gli esperti di sicurezza di Kaspersky, questo potrebbe essere lo stesso exploit EternalBlue scoperto dall’NSA e utilizzato negli attacchi di WannaCry.
Tuttavia, essi avvertono che Petya è un software completamente diverso e non è una semplice variante del codice di WannaCry.

Petya blocca i file e mostra all’utente una schermata intimidatoria con sfondo nero e scritta rossa in cui viene richiesto il pagamento di 300 dollari in Bitcoin.

Da dove arriva Petya?

I ricercatori di sicurezza ritengono che Petya potrebbe essere una variante di vecchi worm di “Petya.A”, “Petya.D” o “PetrWrap” del 2016, con l’aggiunta di un nuovo codice per sfruttare l’exploit EternalBlue.
Poiché il problema di WannaCry è stato risolto molto rapidamente, molte aziende potrebbero non avere aggiornato o patchato i loro software e potrebbero essere ancora a rischio.

I primi rapporti suggeriscono che esso nasce da un aggiornamento software incorporato in un programma di contabilità utilizzato da società che lavorano con il governo ucraino. Ciò sembra essere il motivo per cui tanti sistemi ucraini sono stati infettati così rapidamente prima della diffusione in Russia.
L’agenzia pubblicitaria britannica WPP ha dichiarato che alcuni dei suoi computer sono stati colpiti.
La società farmaceutica statunitense Merck, la ditta DLA Piper, la compagnia di spedizioni TNT, con sede in Paesi Bassi e il colosso alimentare spagnolo Mondelez – i cui marchi sono Oreo e Toblerone – sono stati compromessi a causa dell’attacco globale.

«I dati telemetrici della società indicano fino ad ora circa 2.000 utenti attaccati», ha dichiarato Vyacheslav Zakorzhevsky, responsabile del team anti-malware di Kaspersky Lab.
«Le organizzazioni in Russia ed in Ucraina sono le più colpite, e abbiamo registrato anche colpi in Polonia, Italia, Germania e diversi altri paesi».
Chi è dietro?
Ci sono poche informazioni su chi ci potrebbe esserci dietro l’attuale diffusione di Petya.
Il primo ministro dell’Ucraina Volodymyr Groysman ha dichiarato che l’attacco informatico è “senza precedenti” ma “i sistemi vitali non sono stati colpiti”.

Come può agire il singolo utente?

Se un computer è già stato compromesso, non esiste attualmente alcun modo per recuperare i file bloccati. Posteo, un provider di servizi di posta elettronica che sembra essere stato utilizzato dagli hacker, ha risposto dicendo che ha chiuso gli indirizzi email.
«Siamo consapevoli che i ricattatori di ransomware stanno attualmente utilizzando un indirizzo di Posteo come mezzo di contatto. Il nostro team anti-abuso ha verificato immediatamente questo e ha immediatamente bloccato l’account», ha dichiarato l’azienda.
Ciò significa che anche coloro che erano interessati a pagare il riscatto, non avrebbero potuto perché la mail sarebbe stata disattivata.

I professionisti della sicurezza hanno costantemente avvertito di non pagare i riscatti ai cybercriminali. Al contrario, le imprese dovrebbero investire in solide misure di sicurezza e assicurarsi la costanza nell’effettuare i backup.

Un modo per limitare i danni del ransomware di Petya è quello di riavviare il computer su un backup precedente. Preferibilmente, questo backup dovrebbe essere crittografato o almeno memorizzato in modalità offline.
«Il ransomware di Petya è essenzialmente una versione più intelligente, più sviluppata e migliore di WannaCry, in quanto basata sullo stesso tipo di exploit», ha dichiarato Gretchen Ruck, direttore della consulenza per la gestione aziendale AlixPartners.
«Nei prossimi sei mesi dobbiamo aspettarci che questi attacchi continueranno a crescere in numero e sofisticazione e le aziende devono priorizzare gli investimenti in sistemi sicuri e la collaborazione con i dirigenti per restare un passo avanti».

Fonte

 
Grazie al nostro canale Telegram potete rimanere aggiornati sulla pubblicazione di nuovi articoli di WebMagazine24
 
 

Autore dell'articolo: Cesare Di Simone

Passione sfrenata per tutto ciò che è tecnologico utente di lungo corso Android e sostenitore di tutto ciò che è open-source e collateralmente amante del mondo Linux. La maggior parte delle conoscenze che ho in ambito tecnologico le ho apprese da autodidatta, riparo Pc e nel tempo libero mi dedico a scrivere articoli su Technoblitz.it di cui sono co-fondatore oltre a scrivere anche su Blastingnews.