A quanto pare non si tratta di una variante di Petya ma di un nuovo ransomware, mai visto prima. Che venga chiamato PetyaWrap, “NotPetya” o “New Petya”, ha già colpito 2000 utenti in Russia, Ukraina, Polonia Francia, Italia, Inghilterra, Germania e USA.
Il software malevolo ha iniziato a diffondersi nelle grandi imprese internazionali, come la Maersk, l’azienda danese dei trasporti, o il gigante del “food” Mondelez. In Ucraina è stata colpita anche la centrale nucleare di Cernobyl, i cui computer, come capitato alle altre aziende vittime, sono stati infettati dal ransomware.
E’ il secondo attacco a livello mondiale che si verifica in soli due mesi. L’attacco WannaCry ha colpito più di 230000 computer in oltre 150 Paesi. NotPetya sembra avere la stessa rapidità di diffusione ma pare essere ancora più difficile da fermare.
Il riscatto richiesto è di 300$ in Bitcoin e per avere la decryption key per sbloccare i computer bisognerebbe inviare la conferma di pagamento ad un indirizzo email, che però è stato bloccato dal provider Posteo che, in un comunicato attraverso il suo blog, ha affermato che “non accettano questo tipo di abuso sulla loro piattaforma”. Pertanto non c’è alcun modo per contattare i criminali e riavere i dati.
Come funziona NotPetya
Il virus si diffonde rapidamente e sfrutta la vulnerabilità EternalBlue in Windows (è stata rilasciata una patch ma non tutti l’hanno aggiornata) o attraverso due strumenti di amministrazione di Windows. Il malware prova una strada e se non riesce, prova l’altra. “E’ un meccanismo migliore di quello usato da WannaCry” ha affermato Ryan Kalembert di ProofPoint.
Petya, dunque, è un nuovo ransomware ma con una connotazione ulteriormente negativa: invece di criptare i file sul disco, blocca il disco intero, rendendolo totalmente inutile.
Sul sito del Telegraph si può seguire un’accurata timeline degli attacchi da quando sono iniziati.
In un’intervista su Repubblica Marco Ramilli spiega: “[…] E’ un ransomware come WannaCry, ma funziona in maniera diversa, è stato creato prima e da altre persone” e prosegue “Il vero punto debole è il fattore umano. Umano l’attaccante, umano l’obiettivo. Puoi anche usare una sand box di ultima generazione. Ma così come evolve la difesa evolve l’attacco. Basta ad esempio che il virus si attivi dopo 15 minuti, le mail non possono esser trattenute per così tanto tempo in un ambiente isolato. Per questo sono nate le sand box che hanno simulato lo scorrere del tempo sul pc. Allora il virus hanno cominciato ad attivarsi solo dopo aver registrato certi movimenti del mouse o solo se la macchina non ha gli sfondi preimpostati di Windows che raramente vengono adoperati. E via discorrendo”.
Robert Edwards specialista del cybercrime al St John’s Building afferma:
“Stiamo osservando un preoccupante trend dove le varianti del Ransomware come Petya stanno diventando molto più complessi e si diffondono più rapidamente e molte aziende non fanno abbastanza per mettere al sicuro i loro dati. Quando basta un aggiornamento per essere al sicuro aziende e personale devono fare il possibile per proteggere loro stessi dalle nuove minacce”
Ricordiamo che il miglior sistema di difesa è la prevenzione:
- tieni aggiornati i sistemi
Browser, sistemi operativi, applicazioni: tutti i software devono avere l’ultimo aggiornamento disponibile - educa il personale
Una delle vie più comuni usate dai ransomware per infettare è quella che attraversa i social. Educa dipendenti e collaboratori su come individuare eventuali campagne di phishing, siti sospetti e altri pericoli - programma dei back up
Metti al sicuro le copie dei tuoi file e dei dati e fallo con scadenze regolari e frequenza adatta al tu tipo di lavoro. Non fare il back up su un’unità mappata. Alcuni tipi di ransomware possono persino criptare file attraverso le condivisioni in una rete non mappata. - investi in sicurezza
Assicurati di avere diversi livelli di sicurezza, che possano individuare e bloccare i ransomware prima che avvenga l’attacco. Per la migliore protezione consigliamo:
Firewall – Anti Exploit – Anti Virus con monitoraggio attivo – Anti Malware Anti Ransomware