Epidemia di Petya (Petrwap)

Sulla scia dell’epidemia di un mese fa denominata WannaCry, dalla giornata di ieri una nuova minaccia ransomware sta mietendo vittime soprattutto in Europa.

petya-pc

Secondo diversi ricercatori il virus discende dal malware Petya, già noto dal 2016, ma ulteriormente elaborato e potenziato per sfruttare le stesse falle su cui faceva leva WannaCry, presenti in diverse versioni del sistema operativo Windows (per cui Microsoft ha già rilasciato la patch il 14 marzo scorso denominata MS17-010).

Tuttavia l’analisi del malware è ancora in corso e alcuni ricercatori indicano che potrebbero essere sfruttati anche altri metodi di diffusione che non si avvantaggiano delle vulnerabilità note ma tentano il collegamento con privilegi amministrativi ad altri PC nella rete (alle share admin$ e c$) utilizzando la stessa password dell’utente.

Sembra quindi che oltre alla modalità Ransomware il “nuovo Petya” (o NotPetya come è stato chiamato da alcuni produttori di Antivirus) sia anche un Credential Stealer ovvero in grado di estrarre lo username e la password dell’utente ed inviare questi dati ad un server remoto sotto il controllo degli attacanti oltre a sfruttare tali informazioni per accedere a sistemi locali.

Il virus si comporterebbe quindi come un worm ovvero autoreplicandosi nella rete aziendale ed infettando altri computer presenti con l’obbiettivo di cifrarne i file e rilasciando la chiave di decifratura solo a seguito del pagamento di un riscatto (attualmente circa 300$ in bitcoin).

La modalità di infezione iniziale resta sempre la mail: un excel in allegato scarica ed esegue in modalità nascosta un programma (una DLL, per la precisione) che oltre alla propria diffusione ed alla cifratura dei file imposta un riavvio del computer dopo circa un’ora dalla propria installazione. Al riavvio provvede alla cifratura di file e sezioni principali del disco fisso (Master Boot Record, e Master File Table) mentre mostra all’utente una schermata di verifica a cui l’utente potrebbe essere familiare.

fake-chkdsk.png

Avast dichiara che sono stati rilevati oltre 12.000 tentativi di attacco, in particolare sembra che il malware sia particolarmente diffuso in grosse aziende Europee tra cui centrali elettriche (anche i sistemi di controllo delle radiazioni della centrale di Chernoby), aziende di trasporti e pubblicità. Il wallet bitcoin legato al malware risulta aver ricevuto decine di pagamenti. L’indirizzo e-mail per contattare gli attaccanti, tuttavia, è stato disabilitato dal provider pertanto è assolutamente sconsigliato tentare di pagare il riscatto.

Mentre online circolano diverse soluzioni per evitare o minimizzare gli effetti di questa infezione, si possono raccomandare, in linea generale, comportamenti e modalità di protezione già viste in casi precedenti e che dovrebbero sempre attive, come:

  • mantenere aggiornati i proprio sistemi e software antivirus;
  • attivare regole di filtering della posta elettronica (antispam, antivirus, antiphishing);
  • evitare il normale utilizzo delle proprie postazioni di lavoro con privilegi amministrativi.

Ma soprattutto vanno formati ed informati gli utenti sul corretto utilizzo delle mail per evitare l’apertura di file allegati indesiderati.

Per chi volesse maggiori informazioni tecniche, sono disponibili qui

Cert-PA ed il CERT Nazionale hanno rilasciato annunci in merito a questa ondata di malware.

Contattaci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...