PETYA, un nuovo ransomware colpisce in tutto il mondo

Non è ancora terminata l’allerta per il ransomware WannaCry che un altro attacco ransomware su vasta scala sta diffondendo il caos in tutto il mondo, bloccando computer aziendali, centrali elettriche e banche in Russia, Ucraina, Spagna, Francia, Regno Unito, India e Europa e richiedendo 300 dollari in bitcoin.

Secondo molteplici fonti, una nuova variante del ransomware Petya, conosciuta anche come Petwrap, si sta diffondendo rapidamente con l’aiuto della stessa vulnerabilità di Windows SMBv1 che ha sfruttato WannaCry per infettare 300.000 sistemi e server in tutto il mondo in appena 72 ore il mese scorso.

Oltre a questo, molte vittime hanno anche informato che il ransomware Petya ha anche infettato i loro sistemi di patch.

“Petya utilizza la falla NSA Eternalblue ma si diffonde anche nelle reti interne con WMIC e PSEXEC, per cui i sistemi patchati possono essere colpiti”. Conferma Mikko Hypponen, Chief Research Officer di F-Secure.

Petya è un ransomware astuto e funziona in modo molto diverso da qualsiasi altro malware. A differenza di altri ransomware tradizionali, Petya non crittografa i file su un sistema mirato uno per uno. Invece, Petya riavvia i computer delle vittime e crittografa la tabella di file master del disco rigido (MFT) e rende inoperabile il Master Boot Record (MBR), limitando l’accesso al sistema completo mediante l’acquisizione di informazioni sui nomi dei file, le dimensioni e la posizione sul disco fisico.

Il ransomware Petya sostituisce il MBR del computer con un proprio codice dannoso che mostra la nota di riscatto e impedisce l’avvio del PC.

NON PAGARE IL RISCATTO, NON RIAVRAI I TUOI FILES

Gli utenti infetti sono invitati a non pagare il riscatto poiché gli hacker dietro Petya non possono più ricevere e-mail.

Posteo, il fornitore tedesco di posta elettronica, ha sospeso l’indirizzo di posta elettronica, vale a dire wowsmith123456@posteo.net, che era utilizzato dai criminali per comunicare con le vittime dopo aver ricevuto il riscatto per inviare le chiavi di decodifica.

Al momento della scrittura, 23 vittime hanno pagato in Bitcoin l’indirizzo di ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ per decrittografare i loro file infetti da Petya, che ammontano a circa 6775 dollari.

Il ransomware Petya si diffonde rapidamente in tutto il mondo, proprio come WannaCry

Schermate dell’ultima infezione di Petya, condivise su Twitter, mostrano che il ransomware visualizza un testo che richiede 300 dollari di Bitcoins. Ecco cosa legge il testo:

Se vedi questo testo, allora i tuoi file non sono più accessibili, perché sono crittografati, forse siete impegnati a cercare un modo per recuperare i vostri file, ma non perdete tempo. Nessuno può recuperare i file senza il nostro servizio di decrittografia“.

Attualmente solo pochi servizi anti-virus sono in grado di individuare con successo il malware di Petya, e una protezione da questo attacco è data da RaPToR, l’antiransomware di Cyber Intuition.

 

PETYA COLPISCE BANCHE, TELECOMUNICAZIONI, AZIENDE E IMPRESE STATALI

Petya Ransomware colpisce le banche, le telecomunicazioni, le imprese e le imprese elettriche

Il ransomware di Petya ha già infettato, tra gli altri, Rosneft (società statale russa di petrolio), e fornitori di elettricità statale ucraine, “Kyivenergo” e “Ukrenergo”, nelle ultime poche ore.
“Siamo stati attaccati, due ore fa, abbiamo dovuto spegnere tutti i nostri computer. Stiamo aspettando l’autorizzazione del Servizio di Sicurezza dell’Ucraina (SBU) per riattivarli nuovamente”, ha detto il servizio stampa di Kyivenergo.
Ci sono rapporti di varie banche, tra cui la Banca Nazionale dell’Ucraina (NBU) e Oschadbank, nonché altre società che confermano di essere state colpite dagli attacchi del ransomware Petya.

Maersk, una società di logistica internazionale, ha anche confermato in Twitter che gli ultimi attacchi di ransomware di Petya hanno chiuso i propri sistemi IT in più sedi e unità business.
“Siamo in grado di confermare che i sistemi IT di Maersk sono in disparte su più siti e unità aziendali, attualmente stiamo riprendendo il controllo della situazione: la sicurezza dei nostri dipendenti, le nostre operazioni e le attività dei nostri clienti è la nostra priorità: aggiorneremo quando abbiamo più informazioni, “Ha detto la società.
Il ransomware ha anche impatto su più stazioni di lavoro presso il ramo ucraino della società mineraria Evraz.

I danni più gravi segnalati dalle imprese ucraine includono anche i sistemi compromessi alla metro locale dell’Ucraina e l’aeroporto Boryspil di Kiev.

Tre operatori ucraini di telecomunicazione, Kyivstar, LifeCell, Ukrtelecom, sono anche colpiti nell’ultimo attacco Petya.

PERCHE’ IL RANSOMWARE PETYA SI DIFFONDE COSI’ RAPIDAMENTE?

“Il ransomware Petya è riuscito a diffondersi perché combina sia un attacco lato client (CVE-2017-0199) che una minaccia basata sulla rete (MS17-010),” afferma il ricercatore di sicurezza HackerFantastic su Twitter.

EternalBlue sfrutta una falla di Windows SMB, ed è stato diffuso dal famigerato gruppo di hacker Shadow Brokers ad aprile, affermando di averlo rubato dall’agenzia di intelligence statunitense NSA, insieme ad altri exploit di Windows.

Microsoft ha già patchato la vulnerabilità per tutte le versioni dei sistemi operativi Windows, ma molti utenti rimangono vulnerabili a una serie di varianti di malware
Solo tre giorni fa abbiamo riportato l’ultimo attacco di WannaCry che ha colpito Honda Motor Company e circa 55 telecamere di velocità ai semafori in Giappone e in Australia.

E’ sorprendente come anche dopo aver saputo del problema di WannaCry da ormai un bel po’ di tempo, le grandi aziende non abbiano ancora implementato misure di sicurezza adeguate per difendersi da tali minacce.

COME PROTEGGERSI DAI RANSOMWARE

Cosa fare immediatamente? Installare gli ultimi aggiornamenti di sicurezza di Windows contro EternalBlue (MS17-010) e disabilitare il protocollo di condivisione file SMBv1 non protetto sui tuoi sistemi e server.

Poiché Petya Ransomware utilizza anche strumenti WMIC e PSEXEC per infettare computer Windows completamente patchati, si consiglia inoltre di disattivare WMIC (Windows Management Instrumentation Command-line).

COME IMPEDIRE L’INFEZIONE DEL RANSOMWARE PETYA

Per proteggerti da qualsiasi infezione da ransomware, dovresti essere sempre sospettoso dei file e documenti indesiderati inviati tramite posta elettronica e non dovresti mai cliccare sui collegamenti all’interno di essi a meno che non verifichi la fonte.

Inoltre, assicurati di eseguire una buona e efficace suite di protezione antivirus sul tuo sistema: RaPToR è la soluzione avanzata specifica e offre una protezione multi-livello per eliminare le minacce ransomware. RaPToR ha un processo di installazione semplice e veloce, ed è pensato per agire in background, senza influire sulle prestazioni del tuo PC.

Con RaPToR puoi difendere la tua privacy ed i tuoi importanti dati personali da rischi di navigazione, evitando che vengano bloccati i tuoi files come foto, video e testi, evitando il virus del riscatto.

Contattaci subito per un preventivo

Leave a Reply

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.