Alfonso Maruccia

Petya, il nuovo attacco globale del ransomware

Una nuova, virulenta epidemia di malware cripta-file sembra essere scoppiata in giro per il mondo. Un problema di non facile soluzione che potrebbe avere effetti comparabili a quelli di WannaCry

Roma - Una nuova variante del ransomware Petya è al momento in via di diffusione in un gran numero di Paesi in giro per il mondo, un attacco a poche ore dall'avvio viene già definito globale e che sembra aver tratto ben più di un'ispirazione dalla famigerata epidemia a opera di WannaCry. Il livello di pericolosità della nuova minaccia potrebbe essere persino maggiore, e la raccolta di profitti per gli ignoti cyber-criminali è già cominciata.

Petya è un malware cripta-file già noto da tempo, e che è altrettanto noto per l'utilizzo di un payload di codifica imperfetto che può essere attaccato per la decrittazione dei dati a costo zero. Purtroppo la nuova versione del ransomware in via di distribuzione non sembra soffrire dello stesso problema, ed è resa ancora più pericolosa grazie alle novità tratte dal succitato WannaCry (ma non solo).

Anche il nuovo Petya, infatti, ha integrato il famigerato exploit dell'intelligence USA noto come ETERNALBLUE e progettato per sfruttare un bug nel server SAMBA (SMB) dei sistemi Microsoft per infettare i PC connessi a Internet. Di suo, Petya ci mette la distribuzione aggiuntiva via email, la codifica dell'indice dei file nel file system NTFS (MFT) e la sostituzione del settore di boot del disco fisso (per le partizioni in standard MBR) con un boot loader custom pensato per stampare a video il testo con la richiesta di riscatto in Bitcoin.


Petya riavvia subito i sistemi infetti e rende quindi impossibile l'eventuale opera di disinfestazione da parte dei tecnici, un fatto che unito all'uso dell'exploit EternalBlue ha permesso al ransomware di diffondersi su migliaia di sistemi in poco tempo: la schermata con testo rosso che indica l'avvenuta infezione a opera di Petya è già comparsa nel Regno Unito, in Ucraina, in India, nei Paesi Bassi, in Spagna e in Danimarca.

Al momento l'Ucraina sembra essere il Paese con il numero di infezioni più esteso, mentre le organizzazioni coinvolte nell'infezione includono agenzie governative, aziende di trasporti, supermercati e altro ancora. Tra le strutture colpite c'è anche la centrale di Chernobyl ma la situazione è attualmente sotto controllo. Da Kiev, intanto si punta dritto il dito contro la Russia, sospettata di essere l'artefice di tale attacco.

Naturalmente, vista l'estensione della minaccia, è facile preventivare che sarà elevato il numero di soggetti interessati a pagare i cyber-criminali pur di risolvere velocemente il problema: in poche ore gli autori di Petya hanno già racimolato 2.000 dollari USA di profitti in Bitcoin, una cifra che i pupari di WannaCry avevano messo assieme in un intero giorno di attività.



A rendere ancora più complicato il contrasto al nuovo Petya, infine, è la mancata disponibilità di un "kill-switch" che, come in WannaCry, potrebbe fermare la proliferazione del malware con la registrazione di un server per il controllo remoto da parte dei criminali.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPetya, decodificato il ransomwareUno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
  • SicurezzaMicrosoft aggiorna Windows XP contro WannaCry & Co.Nonostante il supporto a questo sistema operativo sia cessato da oltre tre anni, il colosso di Redmond ha emesso una patch straordinaria per garantire la sicurezza dei PC che ancora lo utilizzano. Ma resta l'invito a migrare verso OS pių recenti
104 Commenti alla Notizia Petya, il nuovo attacco globale del ransomware
Ordina
  • Non siete nemmeno in grado di installare sulle vostre macchine che seguite una patch di sicurezza rilasciata a marzo. Mi meraviglio di più delle aziende che li hanno assunti sti coglioni!
    non+autenticato
  • - Scritto da: Martino
    > Non siete nemmeno in grado di installare sulle
    > vostre macchine che seguite una patch di
    > sicurezza rilasciata a marzo. Mi meraviglio di
    > più delle aziende che li hanno assunti sti
    > coglioni!


    Se i sistemisti sistemassero poi non ci sarebbe più nulla da sistemare.
    non+autenticato
  • delle due l'una.... o impiega "eternalblue" e allora NON colpisce i server samba ma windoze o colpisce i server samba e allora windoze e' esente.

    "SMB" e' l' acronimo di 'Server Message Block' ed e' il noto protocollo winzozziano. Samba e' il nome del software della sua reimplementazione opensource...
    SMB *non* e' la contrazione di sambaCon la lingua fuori
    E' "il progetto samba" che si e' dato un nome con un assonanza simile all acronimo cacofonico di M$
    non+autenticato
  • L'unica cosa certa che a breve i bitcoin saranno resi illegali e come tali trattati.
    non+autenticato
  • - Scritto da: mario viotti
    > L'unica cosa certa che a breve i bitcoin saranno
    > resi illegali e come tali
    > trattati.

    peccato che ci sono Paesi che invece li hanno resi legali, ad esempio il Giappone e la Corea del Sud

    chi impedira' alla gente di comprare Bitcoin tramite societa' in Giappone o Corea?

    siamo seri, il progresso non si lascia fermare da quattro azzeccagarbugli

    non ci sono riusciti ai tempi delle monarchie assolute, figurarsi se ci riusciranno adesso
    non+autenticato
  • - Scritto da: mario viotti
    > L'unica cosa certa che a breve i bitcoin saranno
    > resi illegali e come tali
    > trattati.

    E questa legge la voteranno prima o dopo quella che proibisce la pioggia tra le 8:00 e le 9:00 ?
  • Scusate la domanda ma voi vedete difficile bloccare una rete peer to peer(non ho scritto alterare) quale quella Bitcoin?
    perchè?

    Mi pare che (anche rispetto ad altri migliori/precedenti protocolli al BC) usi sempre un ip sorgente e destinatario...

    Che dopo la sicurezza del dato sia difficile da alterare non discuto ma bloccare credo sia un'altra cosa...
    Sbaglio?
    non+autenticato
  • - Scritto da: Robbba
    > Scusate la domanda ma voi vedete difficile
    > bloccare una rete peer to peer(non ho scritto
    > alterare) quale quella
    > Bitcoin?
    > perchè?
    >
    > Mi pare che (anche rispetto ad altri
    > migliori/precedenti protocolli al BC) usi sempre
    > un ip sorgente e
    > destinatario...
    >
    > Che dopo la sicurezza del dato sia difficile da
    > alterare non discuto ma bloccare credo sia
    > un'altra
    > cosa...
    > Sbaglio?
    perche mai pensi che i governi vogliano bloccare i bitcoin? mica e' thepiratebay ...
    non+autenticato
  • mmm, in realtà entrando nel merito del perché bloccare o meno un protocollo (in questo caso Bitcoin ma già oggi si bloccano altri tipi di comunicazione) credo sarebbe un discorso piuttosto lungo...

    Solo ero curioso sul perché si ritiene (se ho ben capito) difficile/impossibile farlo per questo protocollo...

    Solo curiosità anceh dovuta dal fatto che (sicuramente sbaglio ma leggo da qui... https://en.bitcoin.it/wiki/Network) non mi pare cosi inaffondabile...

    Al solito, libero di sbagliare
    non+autenticato
  • la soluzione è molto semplice!
    le aziende DEVONO fare formazione (Anche minima) di sicurezza informatica agli utonti! e vedi che certe cose non capiteranno cosi spesso..
    non+autenticato
  • - Scritto da: simone
    > la soluzione è molto semplice!
    > le aziende DEVONO fare formazione (Anche minima)
    > di sicurezza informatica agli utonti! e vedi che
    > certe cose non capiteranno cosi
    > spesso..

    Basterebbe assumere un sistemista con un minimo di competenze tecniche e NON appaltare il servizio ad una società di consulenza esterna o in body-rental con tanto di fregatura sotto l'angolo.
    non+autenticato
  • - Scritto da: suc
    > - Scritto da: simone
    > > la soluzione è molto semplice!
    > > le aziende DEVONO fare formazione (Anche minima)
    > > di sicurezza informatica agli utonti! e vedi che
    > > certe cose non capiteranno cosi
    > > spesso..
    >
    > Basterebbe assumere un sistemista con un minimo
    > di competenze tecniche e NON appaltare il
    > servizio ad una società di consulenza esterna o
    > in body-rental con tanto di fregatura sotto
    > l'angolo.

    Se i sistemisti sistemassaro poi non ci sarebbe più nulla da sistemare!
    Capisciamme!
    non+autenticato
  • 1) MS riscrive da zero molte parti del kernel, perché è ridicolo che in un mondo connesso ad internet ci siano ancora falle così facili da sfruttare.

    2) I vari stati bannano Windows dagli uffici di enti "sensibili" (banche, fornitura elettrica, assicurazioni, ecc), perché, dati alla mano, Windows non è all'altezza.

    Io propendo per la soluzione 2.
    non+autenticato
  • - Scritto da: mela marcia
    > 1) MS riscrive da zero molte parti del kernel,
    > perché è ridicolo che in un mondo connesso ad
    > internet ci siano ancora falle così facili da
    > sfruttare.

    M$ e' incapace di scrivere software.
    Dopo 30 anni che ci prova, ancora non ci e' riuscita.
    Quindi non e' una soluzione praticabile.

    > 2) I vari stati bannano Windows dagli uffici di
    > enti "sensibili" (banche, fornitura elettrica,
    > assicurazioni, ecc), perché, dati alla mano,
    > Windows non è
    > all'altezza.

    Questa soluzione sarebbe praticabile.
    Anzi, si potrebbe fare ancora meglio, perche' vietare e' sempre una cosa brutta in paesi democratici.
    Visto che vogliono tassare google per la pubblicita', che tassino anche winsozz, come per le sigarette.

    Una bella accisa sui sistemi operativi pari al 500% del loro costo.
    Tutti i sistemi operativi, nessuno escluso.

    Io sarei ben felice di pagare il 500% di quello che costa linux.
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    > Io propendo per la soluzione 2.
  • - Scritto da: panda rossa
    > M$ e' incapace di scrivere software.
    > Dopo 30 anni che ci prova, ancora non ci e'
    > riuscita.
    > Quindi non e' una soluzione praticabile.
    ms ha patchato da tempo tutte le falle, se nessuno installa gli aggiornamenti non è colpa di ms.


    > Questa soluzione sarebbe praticabile.
    tu dai linux ad un utonto e vedi quanti virus si becca.


    > Anzi, si potrebbe fare ancora meglio, perche'
    > vietare e' sempre una cosa brutta in paesi
    > democratici.
    la ue, gli usa, ecc ti sembrano paesi democratici?


    > Visto che vogliono tassare google per la
    > pubblicita', che tassino anche winsozz, come per
    > le
    > sigarette.
    >
    > Una bella accisa sui sistemi operativi pari al
    > 500% del loro
    > costo.
    > Tutti i sistemi operativi, nessuno escluso.
    e perchè? per colpa dei sistemisti che non installano la patch?


    > Io sarei ben felice di pagare il 500% di quello
    > che costa
    > linux.
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    che secondo te viene sviluppato dagli appassionati nel weekend giusto? non da corporation come intel, oracle, hp e pure ms...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > M$ e' incapace di scrivere software.
    > > Dopo 30 anni che ci prova, ancora non ci e'
    > > riuscita.
    > > Quindi non e' una soluzione praticabile.
    > ms ha patchato da tempo tutte le falle, se
    > nessuno installa gli aggiornamenti non è colpa di
    > ms.

    Quelle che tu chiami "falle", l'agenzia governativa americana chiama "backdoor", e non possono essere chiuse per legge.
    E quello che tu chiami "patch per le falle", io lo chiamo "popup che dice che le falle sono state patchate, senza fare altro".

    > > Questa soluzione sarebbe praticabile.
    > tu dai linux ad un utonto e vedi quanti virus si
    > becca.

    Forse volevi dire "quali", non "quanti".
    Perche' e' arrivato pure a me ieri l'allegato "invoice.pdf.exe"
    L'ho cliccato come farebbe qualunque utonto a cominciare da te.
    E indovina che cosa e' successo?

    > > Anzi, si potrebbe fare ancora meglio, perche'
    > > vietare e' sempre una cosa brutta in paesi
    > > democratici.
    > la ue, gli usa, ecc ti sembrano paesi democratici?

    Si e' votato proprio l'altro giorno e il pd ha preso una bella legnata.
    Direi che e' sufficiente per considerarci democratici.

    > > Visto che vogliono tassare google per la
    > > pubblicita', che tassino anche winsozz, come
    > per
    > > le
    > > sigarette.
    > >
    > > Una bella accisa sui sistemi operativi pari
    > al
    > > 500% del loro
    > > costo.
    > > Tutti i sistemi operativi, nessuno escluso.
    > e perchè? per colpa dei sistemisti che non
    > installano la
    > patch?

    No, per colpa degli amministratori che risparmiano sui sistemisti.
    Vai un po' a vedere l'elenco delle aziende colpite dal malware.


    > > Io sarei ben felice di pagare il 500% di
    > quello
    > > che costa
    > > linux.
    > > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    > che secondo te viene sviluppato dagli
    > appassionati nel weekend giusto? non da
    > corporation come intel, oracle, hp e pure
    > ms...

    Frega niente chi lo sviluppa.
    Io ho detto che una percentuale del costo deve essere devoluta in tassa sull'ignoranza.
  • - Scritto da: panda rossa
    > Quelle che tu chiami "falle", l'agenzia
    > governativa americana chiama "backdoor", e non
    > possono essere chiuse per
    > legge.

    Si, come no.... per legge, panda rossa docet Rotola dal ridereRotola dal ridereRotola dal ridere

    > E quello che tu chiami "patch per le falle", io
    > lo chiamo "popup che dice che le falle sono state
    > patchate, senza fare
    > altro".

    panda rossa: l'esperto di informatica che non sapeva applicare una patch perchè non riusciva a scaricarla dal sito a causa del popup blocker del browser Rotola dal ridereRotola dal ridereRotola dal ridere
    Questo è il vero motivo per cui per te le patch sono: "popup che dice che le falle sono state patchate, senza fare altro" Rotola dal ridereRotola dal ridereRotola dal ridere
    Quello che non è capace di fare altro sei tu Rotola dal ridereRotola dal ridereRotola dal ridere

    > Forse volevi dire "quali", non "quanti".
    > Perche' e' arrivato pure a me ieri l'allegato
    > "invoice.pdf.exe"
    > L'ho cliccato come farebbe qualunque utonto a
    > cominciare da
    > te.
    > E indovina che cosa e' successo?

    Ti è comparso un pop up che diceva che la falle sono state patchate Rotola dal ridereRotola dal ridereRotola dal ridere

    > Si e' votato proprio l'altro giorno e il pd ha
    > preso una bella
    > legnata.
    > Direi che e' sufficiente per considerarci
    > democratici.

    Giusto, anche i tuoi amichetti di quel tal movimento hanno perso, quindi sì: siamo democratici Rotola dal ridere

    > No, per colpa degli amministratori che
    > risparmiano sui
    > sistemisti.

    Ma allora non è colpa del sistema operativo, quindi tutte quelle parole su Windows che fa cacare sono parole al vento sprecate per nulla Rotola dal ridere

    > Vai un po' a vedere l'elenco delle aziende
    > colpite dal
    > malware.

    Si, e cosa scopriremmo ? Che sono aziende in cui "gli amministratori risparmiano sui sistemisti" ? Rotola dal ridere

    > Frega niente chi lo sviluppa.
    > Io ho detto che una percentuale del costo deve
    > essere devoluta in tassa
    > sull'ignoranza.

    Se ci fosse una tassa sull'ignoranza tu passeresti la vita a pagare i debiti Rotola dal ridere
    non+autenticato
  • - Scritto da: wanagana

    > Se ci fosse una tassa sull'ignoranza tu
    > passeresti la vita a pagare i debiti
    > Rotola dal ridere

    Intanto oggi mentre tu passi la giornata a decriptare i tuoi sistemi dopo aver pagato i bitcoin, io cazzeggio sul forum di PI.

    Chi di noi ha pagato la tassa sull'ignoranza, quindi?
  • - Scritto da: panda rossa
    > - Scritto da: wanagana
    >
    > > Se ci fosse una tassa sull'ignoranza tu
    > > passeresti la vita a pagare i debiti
    > > Rotola dal ridere
    >
    > Intanto oggi mentre tu passi la giornata a
    > decriptare i tuoi sistemi dopo aver pagato i
    > bitcoin, io cazzeggio sul forum di
    > PI.
    >
    > Chi di noi ha pagato la tassa sull'ignoranza,
    > quindi?


    #$(/&£")!=!§§°ç*é!?=))"ççòçùòç°§{}ééé*é******^^ì?$()£""//##°|!çé£)%°*^$"(&

    (Traduzione: ti rispondo più tardi, ora sono impegnato a decriptare i miei sistemi) Rotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa

    > Intanto oggi mentre tu passi la giornata a
    > decriptare i tuoi sistemi dopo aver pagato i
    > bitcoin, io cazzeggio sul forum di
    > PI.
    >
    > Chi di noi ha pagato la tassa sull'ignoranza,
    > quindi?

    Vedo che hai bellamente glissato sulla figuraccia del download/popup blocker. Bravo, cerca di rimuoverla sta perla, o di nasconderla. Ma tranquillo che noi non dimenticheremo mai. Ficoso
    non+autenticato
  • - Scritto da: ...
    > ms ha patchato da tempo tutte le falle, se
    > nessuno installa gli aggiornamenti non è colpa di
    > ms.
    Ma Windows non è il sistema facile da usare? Quello che fa tutto in automatico, dove servono pochi click perché tutto funzioni?

    > tu dai linux ad un utonto e vedi quanti virus si
    > becca.
    http://punto-informatico.it/b.aspx?i=4392656&m=439...

    > la ue, gli usa, ecc ti sembrano paesi democratici?
    E' quello che dicono di essere, quindi iniziano a darne dimostrazione.

    > e perchè? per colpa dei sistemisti che non
    > installano la patch?
    No per colpa di MS. Vendere Windows a degli enti che offrono servizi chiave è pericoloso come dare un mitra ad un gorilla.

    > che secondo te viene sviluppato dagli
    > appassionati nel weekend giusto? non da
    > corporation come intel, oracle, hp e pure
    > ms...
    Lo sviluppano (anche) per i loro interessi, ma io lo pago ZERO e ho pure i sorgenti, a me sta bene così.
    non+autenticato
  • - Scritto da: mela marcia
    > 1) MS riscrive da zero molte parti del kernel,
    > perché è ridicolo che in un mondo connesso ad
    > internet ci siano ancora falle così facili da
    > sfruttare.
    >

    sarebbe peggio, almeno NT e' un kernel testato in decenni di uso sul campo

    il problema sono gli strumenti usato per realizzare questi software

    finche' avremo il dominio di C e C++ non riusciremo ad avanzare nemmeno di un passo

    certo, Rust ( e altri suoi simili ) non garantiscono l'invulnerabilita', ma almeno garantiscono un netto miglioramento della correttezza dei programmi

    > 2) I vari stati bannano Windows dagli uffici di
    > enti "sensibili" (banche, fornitura elettrica,
    > assicurazioni, ecc), perché, dati alla mano,
    > Windows non è
    > all'altezza.
    >

    qualsiasi monocoltura non e' all'altezza

    dobbiamo capire che i sistemi complessi sono impossibili da controllare deterministicamente, per cui bisogna fare come la Natura, ovvero diversificare il piu' possibile
    non+autenticato
  • - Scritto da: mela marcia
    > 1) MS riscrive da zero molte parti del kernel,
    > perché è ridicolo che in un mondo connesso ad
    > internet ci siano ancora falle così facili da
    > sfruttare.

    Peccato che non è una falla del kernel, la patch non patcha il kernel ma SMBv1...

    >
    > 2) I vari stati bannano Windows dagli uffici di
    > enti "sensibili" (banche, fornitura elettrica,
    > assicurazioni, ecc), perché, dati alla mano,
    > Windows non è
    > all'altezza.
    >
    > Io propendo per la soluzione 2.

    No qui chi non è all'altezza, a parte i soliti noti di questo forum, sono i sistemisti, perché se una patch viene rilasciata mesi prima, e prima del primo attacco che sfruttava la falla, e se anche dopo un primo attacco sei esposto pure ad un secondo, un mese dopo il primo,molto probabilmente non è Windows il problema, ma il sistemista o l'azienda che gestisce i sistemi. Ti rammento che la stragrande maggioranza degli attacchi di sto tipo usano falle note e già patchate dal produttore. Se poi uno non installa la fix...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)