Attacco globale del ransomware Petya. Migliaia di PC colpiti

Giu 27, 2017 Marco Schiaffino Attacchi, Emergenze, In evidenza, Malware, News, RSS 0

Le segnalazioni parlano di primi attacchi in Ucraina, diffusi poi in tutto il mondo. Il malware (forse) si diffonde sfruttando il bug nel Server Message Block di Windows.

Aggiornamento: Il servizio di posta elettronica Posteo ha bloccato l’account usato dai pirati per ricevere l’ID delle vittime che hanno pagato il riscatto. Di conseguenza, anche chi paga il riscatto non riceverà la chiave per “liberare” il PC.

Un massiccio attacco ransomware si sta diffondendo a macchia d’olio con modalità che ricordano da vicino quelle dell’attacco di WannaCry dello scorso maggio.

L’infezione sarebbe partita dall’Ucraina, dove sono segnalate numerose vittime illustri: aziende, centrali elettriche, società di telecomunicazione e persino i sistemi di monitoraggio della centrale nucleare di Chernobyl. Vittime sono segnalate anche in Francia, Norvegia, Spagna, Olanda, Danimarca, India e altri paesi.

Secondo le prime analisi, il responsabile sarebbe una nuova versione di Petya, un ransomware ben conosciuto che non prende di mira i file delle vittime, ma blocca il computer crittografando il Master Boot Record (MBR), impedendo l’avvio del PC. Il malware visualizza poi una schermata con la richiesta di riscatto di 300 dollari in Bitcoin.

A differenza dei “normali” ransomware, Petya attacca il Master Boot Record e impedisce l’avvio del sistema operativo.

Il ransomware, normalmente diffuso attraverso tecniche tradizionali come gli allegati ai messaggi di posta elettronica, si sta invece diffondendo attraverso la rete come un classico worm.

Secondo i ricercatori (ma non ci sono ancora conferme) potrebbe essere una versione modificata in modo da sfruttare la vulnerabilità del Service Message Block (SMB) di Windows presa di mira da WannaCry e derivata dal tool di hacking EternalBlue, sviluppato dall’NSA e distribuito su Internet dal gruppo hacker Shadow Brokers.

Se così fosse, la prima domanda che viene da porsi, quindi, è: quanti saranno i computer ancora vulnerabili alla falla di Server Message Block (SMB) di Windows? La vulnerabilità, in teoria, è stata infatti corretta da Microsoft e i computer che utilizzano il sistema di aggiornamento automatico dovrebbero essere immuni agli attacchi di questo tipo.

Il timore, però, è che ci siano ancora migliaia di PC vulnerabili, soprattutto in ambito aziendale, dove gli aggiornamenti vengono fatti con tempi più lunghi rispetto al settore consumer.

Se i timori dovessero essere fondati, c’è da chiedersi se questa volta riusciremo a cavarcela tutto sommato a buon mercato come nel caso di WannaCry. In quel caso, infatti, l’infezione è stata fermata quasi per caso grazie all’intervento di un ricercatore di sicurezza che è riuscito a fermare la diffusione del worm registrando un dominio Internet. Questa volta le cose potrebbero andare diversamente.

Soprattutto, non è escluso che il ransomware utilizzi una versione aggiornata dell’exploit EternalBlue, che come hanno spiegato alcuni ricercatori potrebbe essere modificato per colpire anche Windows 10, risparmiato da WannaCry.

Le prime stime parlavano di una diffusione meno “virulenta” rispetto a quella a cui avevamo assistito a maggio, ma col passare delle ore stanno arrivando report che parlano di centinaia di computer infettati nella stessa rete nel giro di minuti.