Un’epidemia di una famiglia particolarmente malevola di ransomware si sta facendo strada su scala globale. E se da una parte l’attuale epidemia presenta similitudini con l’attacco dello scorso mese, WannaCry, i ricercatori di sicurezza mettono in guardia sul fatto che la campagna di queste ore è molto più professionale, e potenzialmente di gran lunga peggiore per le aziende.
I laboratori di F-Secure hanno confermato che il ransomware usato questa volta è della famiglia di ransomware Petya, e si comporta come un worm di rete, diffondendosi attraverso la stessa vulnerabilità SMB (l’exploit EternalBlue sviluppato dalla NSA) come WannaCry.
Jarkko dei Laboratori di F-Secure ha descritto Petya come un ransomware con un risvolto malvagio in un articolo nel 2016. Invece che crittografare i file sul PC, blocca l’intero disco, rendendo praticamente inutilizzabile il sistema fino a quando l’infezione viene rimossa.
Ogni sfortunata vittima di Petya probabilmente vedrà qualcosa di simile:
Il vettore di infezione per questa campagna è ancora sconosciuto, ma il risultato finale è fondamentalmente lo stesso.
La maggior parte delle famiglie di crypto-ransomware colpiscono e crittografano file sul disco fisso della vittima. Ciò significa che le vittime non possono accedere a quei file, ma possono ancora usare il sistema operativo. Petya va a un livello ancora successivo crittografando porzioni dello stesso disco fisso così da rendere impossibile accedere a qualsiasi cosa sul disco, incluso Windows.
Dal punto di vista tecnico, ecco cosa accade:
- Un file malevolo viene eseguito
- Viene creato un task schedulato per far ripartire la macchina infettata dopo un’ora (appare questo agli utenti)
- Mentre si attende il riavvio, Petya va alla ricerca di macchine nella rete su cui propagarsi
- Dopo aver raccolto gli indirizzi IP da infettare, Petya sfrutta la vulnerabilità SMB e rilascia una copia di se stesso alla macchina presa di mira
- Dopo il riavvio, la crittografia inizia durante l’avvio, dopodiché viene mostrata la richiesta di riscatto.
L’epidemia ha colpito organizzazioni in tutto il mondo, tra cui Francia, India, Spagna, Regno Unito, Stati Uniti, Russia. E come per WannaCry, sta colpendo i sistemi su cui gli utenti fanno affidamento, come gli ATM in Ucraina.
Petya on an ATM. Photo by REUTERS.https://t.co/fDQ0nGyQc6 pic.twitter.com/gT2xQP9wAo
— Mikko Hypponen (@mikko) June 27, 2017
Ma mentre un intelligente ricercatore di sicurezza è stato in grado di capitalizzare un errore sconsiderato fatto dagli attaccanti dietro WannaCry, Sean Sullivan, Security Advisor di F-Secure, ritiene non stia accadendo di nuovo.
“Gli attaccanti di WannaCry hanno fallito perché non sono riusciti a gestire l’ingente numero di vittime che loro stessi hanno creato. Ma la campagna Petya, che è ancora nella sua prima fase, sembra essere molto più professionale e pronta a fare cassa,” spiega Sean. “Il tempo dei dilettanti è definitivamente finito quando si tratta di lanciare attacchi ransomware su scala globale.”
Quasi 30 persone hanno pagato gli attaccanti per farsi sbloccare i propri dispositivi (non ci sono conferme se abbia funzionato). Apparentemente gli attaccanti si sono visti bloccare il loro indirizzo email dal loro provider, ma Sean sostiene che ci sono varie ragioni per cui il provider potrebbe cambiare idea.
Quindi le organizzazioni devono stare attente nei prossimi giorni per evitare infezioni Petya. A causa delle analogie con WannaCry, molti degli stessi consigli per la sicurezza forniti in quell’occasione sono validi anche in questo caso: aggiorna Windows, configura il tuo firewall per bloccare il traffico in entrata sulla porta 445 se possibile, e usa una protezione per gli endpoint. I prodotti F-Secure presentano una varietà di misure protettive integrate per aiutare i clienti a restare protetti nei confronti di Petya e altri tipi di ransomware.
F-Secure in queste ore sta pubblicando aggiornamenti: seguici su questo blog e sul blog Business Security Insider. Puoi anche seguire i tweet di Mikko Hypponen, Chief Research Officer di F-Secure in tempo reale.
Articolo tratto da “Petya ransomware outbreak is Wannacry done by pros”, di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.
Categorie