[Aggiornata] Petya: nuova campagna ransomware dalla Russia

Petya sfrutta il noto exploit EternalBlude dell'NSA, già adoperato da Wannacrypt. Il ransomware ha colpito diverse importanti aziende di eterogenei settori.

La classica richiesta di riscatto del ransomware. Fonte: ArsTechnica

La classica richiesta di riscatto del ransomware. Fonte: ArsTechnica

Aggiornamento del 29/6: diversi ricercatori di sicurezza affermano che PetyaWrap non è un ransomware bensì uno wiper, uno strumento pensato espressamente per causare danni e non per guadagnare soldi. I cosiddetti wiper sono in grado di cancellare in modo irreversibile i dati presenti nelle unità dei sistemi presi di mira. Secondo gli esperti gli hacker avrebbero deciso di “mascherare” lo wiper nel codice di un ransomware (Petya) per confondere le acque ed avere più tempo per agire indisturbati – del resto il ricordo di Wannacrypt è ancora vivo.

——————

Ransomware: a distanza di qualche settimana il vocabolo torna d’attualità. Rispetto a Wannacrypt, con il quale ha in comune l’impiego dello stesso exploit NSA “EternalBlue”, PetyaWrap (una variante del ransomware Petya) non sembra aver ancora raggiunto la”tripla cifra” (si parla di 12.000 computer, a Maggio si arrivò a 200.000).

Come giò detto in precedenza, il protocollo SMB v1 bypassato dall’exploit NSA con pacchetti ad hoc era stato patchato nel primo trimestre 2017 da Microsoft. Le imprese interessate dal problema, anche di un certa importanza ed appartenenti a diversi settori dell’industria, sono tuttavia innumerevoli (80 solo in Russia): il colosso farmaceutico Merck, una compagnia di logistica specializzata in spedizioni internazionali (Maersk), la multinazionale di servizi legali DLA Piper, la centrale di Chernobyl etc.

Quel che sorprende è la non curanza dei vertici aziendali di imprese tutt’altro che di nicchia: si parla di compagnie che operano a livello globale o di infrastrutture “delicate” come una centrale nucleare. Il tutto è ancora più grave se si pensa che a Maggio, per quasi due settimane, ogni canale televisivo, radio, giornale e sito internet non ha fatto altro che parlare più volte di Wannacrypt. Ancora un volta sarebbe bastato installare gli aggiornamenti rilasciati da Microsoft per vanificare la campagna ransomware PetyaWrap.

Evoluzione della specie

La diffusione del ransomware sarebbe partita dalla Russia (si ipotizza che l’azienda MeDoc sia stata il cosiddetto paziente zero) per poi giungere rapidamente in altri Paesi dell’UE – sono stati accertati anche alcuni casi in Italia e negli USA, si parla quindi di “attacco globale” anche se è un’espressione abbastanza abusata. MeDoc sarebbe stats presa di mira perchè utile vettore di diffusione del ransomware: gli hacker avrebbero infettato con successo il sistema di rilascio ed invio degli aggiornamenti, a sua volta divenuto “amplificatore” inconsapevole dell’attacco mediante l’invio di update agli utenti finali.

PetyaWrap sfrutta intelligentemente l’exploit EternalBlue affiancandogli un secondo exploit NSA (EternalRomance, sempre mirato al protocollo SMB v1) ed alcuni utili strumenti (Mimikatz per il recupero delle credenziali di accesso alla macchina) in grado di facilitarne la diffusione anche su computer non vulnerabili.

I sistemi colpiti dal ransomware mostrano la consueta richiesta di riscatto (per la chiave di sblocco si richiedono circa 300 dollari in BitCoin). Nel mentre, grazie al recupero delle credenziali ed al loro invio ad un server centrale, gli hacker possono comunque collegarsi alle macchine e cercare dati o materiale interessante – altro passo avanti rispetto a Wannacrypt.

Nei prossimi giorni vedremo se PetyaWrap sarà in grado di eguagliare (si spera il contrario) del predecessore.

Fonti: 1, 2

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *