Una nuova variante del ransomware Petya è al momento in via di diffusione in un gran numero di Paesi in giro per il mondo, un attacco a poche ore dall’avvio viene già definito globale e che sembra aver tratto ben più di un’ispirazione dalla famigerata epidemia a opera di WannaCry . Il livello di pericolosità della nuova minaccia potrebbe essere persino maggiore, e la raccolta di profitti per gli ignoti cyber-criminali è già cominciata.
Petya è un malware cripta-file già noto da tempo, e che è altrettanto noto per l’utilizzo di un payload di codifica imperfetto che può essere attaccato per la decrittazione dei dati a costo zero . Purtroppo la nuova versione del ransomware in via di distribuzione non sembra soffrire dello stesso problema, ed è resa ancora più pericolosa grazie alle novità tratte dal succitato WannaCry (ma non solo).
Anche il nuovo Petya, infatti, ha integrato il famigerato exploit dell’intelligence USA noto come ETERNALBLUE e progettato per sfruttare un bug nel server SAMBA (SMB) dei sistemi Microsoft per infettare i PC connessi a Internet. Di suo, Petya ci mette la distribuzione aggiuntiva via email, la codifica dell’indice dei file nel file system NTFS (MFT) e la sostituzione del settore di boot del disco fisso (per le partizioni in standard MBR) con un boot loader custom pensato per stampare a video il testo con la richiesta di riscatto in Bitcoin.
Супермаркет в Харькове pic.twitter.com/H80FFbzSOj
– Mikhail Golub (@golub) 27 giugno 2017
Petya riavvia subito i sistemi infetti e rende quindi impossibile l’eventuale opera di disinfestazione da parte dei tecnici , un fatto che unito all’uso dell’exploit EternalBlue ha permesso al ransomware di diffondersi su migliaia di sistemi in poco tempo : la schermata con testo rosso che indica l’avvenuta infezione a opera di Petya è già comparsa nel Regno Unito, in Ucraina, in India, nei Paesi Bassi, in Spagna e in Danimarca.
Al momento l’Ucraina sembra essere il Paese con il numero di infezioni più esteso, mentre le organizzazioni coinvolte nell’infezione includono agenzie governative, aziende di trasporti, supermercati e altro ancora. Tra le strutture colpite c’è anche la centrale di Chernobyl ma la situazione è attualmente sotto controllo . Da Kiev, intanto si punta dritto il dito contro la Russia , sospettata di essere l’artefice di tale attacco.
Naturalmente, vista l’estensione della minaccia, è facile preventivare che sarà elevato il numero di soggetti interessati a pagare i cyber-criminali pur di risolvere velocemente il problema: in poche ore gli autori di Petya hanno già racimolato 2.000 dollari USA di profitti in Bitcoin, una cifra che i pupari di WannaCry avevano messo assieme in un intero giorno di attività.
All computers in our office are down. Global #Ransomware attack. Ìve heard few other companies affected too. Backup and stay safe, guys. pic.twitter.com/YNctmvdW2I
– Mihir (@mihirmodi) 27 giugno 2017
A rendere ancora più complicato il contrasto al nuovo Petya, infine, è la mancata disponibilità di un “kill-switch” che, come in WannaCry, potrebbe fermare la proliferazione del malware con la registrazione di un server per il controllo remoto da parte dei criminali.
Alfonso Maruccia
Ti potrebbe interessare
27 giu 2017