A meno di due mesi da Wannacry un altro potente ransomware si sta diffondendo rapidamente mettendo in crisi aziende e sistemi informativi di aziende di ogni settore. D'altra parte lo si era detto, attacchi di questo tipo, se non più intensi, sono destinati a ripetersi.
Si chiama Petya e, come il primo ransomware diffusosi a maggio, sta colpendo con le stesse modalità soprattutto l’Ucraina. Il programma maligno, che cifra i file dei computer infettati e chiede in riscatto 300 dollari in bitcoin per sbloccarli, sembra essere partito dalla Russia e finora è riuscito a entrare nei sistemi informatici del governo ucraino, oltre che della metro e dell’aeroporto di Kiev, di negozi della catena Auchan presenti nel Paese, di alcuni operatori di telecomunicazioni e della banca Privatbank. Sarebbe coinvolta anche la centrale nucleare di Chernobyl.
Secondo l’agenzia nazionale che gestisce la zona contaminata dall’incidente del 1989, sarebbero ancora regolarmente in funzione i sistemi interni del sito, mentre sarebbero fuori uso quelli atti a monitorare i livelli di radiazione degli impianti.
Ma Petya si è diffuso anche ben al di fuori dell’Ucraina. Oltre alle aziende già citate risultano colpiti anche colossi come la danese Maersk (trasporto marittimo), la società britannica di pubblicità Wpp e la francese Saint-Gobain. Secondo la società di sicurezza Group-Ib, inoltre, il ransomware si sarebbe fatto strada anche in Russia, infettando i Pc della compagnia petrolifera di stato Rosneft, della controllata Bashneft e di aziende come Mars e Nivea.
“Credo non ci sia nessun dubbio: dietro a questi 'giochetti' c’è la Russia perché questa è la manifestazione di una guerra ibrida”, ha attaccato il consigliere del ministro dell'Interno ucraino Zoryan Shkiriak, parlando all’emittente nazionale 112.
Nei giorni scorsi
erano circolati report su una presunta cyberarma, sviluppata da hacker al soldo del Cremlino, in grado di attaccare i sistemi Scada e le infrastrutture critiche dei Paesi, comprese quelle degli Stati Uniti. Il programma maligno sarebbe stato testato nei mesi scorsi, in forme diverse, sulle reti dell’Ucraina: i rapporti fra Kiev e Mosca sono tesi dalle manifestazioni di piazza del 2013 contro l’ex presidente filorusso Viktor Janukovyč.
"Le informazioni preliminari dimostrano che il campione di malware responsabile dell'infezione è un clone quasi identico della famiglia di ransomware GoldenEye, affermano gli esperti di Bitdfender. Al momento non ci sono informazioni sul vettore di propagazione, ma si presume che sia trasportato da un componente wormable. A differenza di molti ramsonware, la nuova variante GoldenEye ha due livelli di crittografia: uno che cifra singolarmente i file di destinazione sul computer e un altro che crittografa le strutture NTFS. Questo approccio impedisce ai computer delle vittime di essere riavviati in un ambiente operativo live e recuperare i dati da precedenti backup. Bitdefender blocca i campioni attualmente conosciuti della nuova variante GoldenEye. Se si dispone di una soluzione di sicurezza Bitdefender consumer o business i computer non sono in pericolo".Trend Micro avvisa di aver identificato il ransomware che sta colpendo nelle ultime ore come una variante del ransomware Petya e di averlo nominato RANSOM_PETYA.SMA. Questa variante utilizza come vettori di infezione sia l’exploit EternalBlue che il tool PsExec. “Al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco, afferma
Gastone Nencini, Country Manager Trend Micro Italia. Il ransomware Petya utilizza la stessa vulnerabilità di WannaCry. I nostri laboratori hanno testato un attacco ed è importante sottolineare come le nostre soluzioni siano in grado di bloccare questo ransomware grazie alle loro capacità di machine learning. Questo anche in caso i sistemi non siano stati patchati dopo WannaCry. Le aziende che utilizzano la nostra tecnologia XGen sono al sicuro. Siamo pronti per rispondere al meglio a questo attacco”.
"Questa ultima ondata di quello che sembra essere ransomware è solo un altro esempio delle minacce reali che le organizzazioni, i governi e i paesi di tutto il mondo devono affrontare", ha commentato
Maurizio Desiderio, Country Manager F5 Italia. Questi attacchi stanno alzando la posta in gioco in quanto colpiscono servizi che incidono sull'attività quotidiana delle persone, quali servizi sanitari, postali e di trasporto. Il riscatto richiesto di 300 dollari per rilasciare i dati crittografati sembra poca cosa, ma aumenterà molto rapidamente. Il problema più importante è l’impatto che un attacco simile ha sulle infrastrutture nazionali. Entrando nel nuovo mondo dell’IoT e dei dispositivi connessi, con ogni elemento che si concentra sull'applicazione, la superficie di attacco digitale continua a crescere. In questo modo gli aggressori hanno più possibilità di infiltrarsi nei dati. Più attenzione deve essere posta sull'applicazione e sulla sicurezza dei dati. Inoltre, serve una maggiore educazione alla sicurezza informatica nella vita quotidiana di tutti".
In base a quanto sinora emerso gli eseprti di sicurezza di
Fortinet fanno due semplici, ma utili considerazioni:
1) sono troppe le realtà aziendali che non curano in modo adeguato la loro sicurezza. Se un exploit sfrutta una vulnerabilità nota da mesi o addirittura anni, per cui esiste già una patch, le aziende colpite devono probabilmente riconsiderare le loro policy di sicurezza. E in questo caso, sono state proprio prese di mira vulnerabilità conosciute e risolvibili con patch già disponibili;
2) troppe sono anche le organizzazioni, probabilmente le stesse, che non dispongono di strumenti adeguati per riconoscere immediatamente questo tipo di attacchi.