Petya/NotPetya colpisce i sistemi Windows non protetti, sfrutta la posta elettronica per diffondersi ma poi si propaga liberamente in rete. I cybercriminali hanno sfruttato il meglio di altri malware per confezionarne uno più pestifero
L’azienda di cybersicurezza Group-IB nella giornata di ieri ha individuato un nuovo virus informatico – per alcuni Petya – per altri vendor invece non sarebbe lo stesso malware e preferiscono chiamarlo Notpetya.
Si tratterebbe comunque di un altro ransomware in grado di rendere inutilizzabili i computer chiedendo un riscatto di 300 dollari in Bitcoin e che in parte ha utilizzato codice Wannacry. Petya cripta il Master File Tree (MFT) e riscrive il Master Boot Record (MBR). In estrema sintesi: è stata attaccata una compagnia danese, poi il virus ha fatto danni in Ucraina, anche a livello governativo, quindi sono rimaste infettate le sedi locali ucraine di Auchan, Mars e infine la centrale nucleare più conosciuta al mondo per i danni ambientali oramai 31 anni fa, Chernobyl.
Poi il virus ha raggiunto l’Europa, e l’Asia.
Petya si diffonde attraverso le reti informatiche sfruttando i computer Windows e le relative falle e dopo la prima infezione che richiede l’apertura di un allegato email, non richiede il download di file dall’email o l’attivazione di programmi, semplicemente si propaga in rete. Si è lasciato studiare per la prima volta nel 2016, e la variante di oggi utilizza EternalBlue per attaccare, codice quindi rubato all’NSA, l’Agenzia per la sicurezza americana. Per difendersi i consigli sono sempre i soliti, utilizzare un antivirus valido, prudenza nella navigazione e nell’apertura degli allegati, aggiornare sempre tutti i pc.
Petya vs NotPetya
Secondo Costin Raiu, Director, Global Research & Analysis Team di Kaspersky Lab, la nuova ondata di attacchi ransomware non si tratterebbe invece di una nuova variante del ransomware Petya, ma proprio un nuovo ransomware mai visto prima. Si sono registrati attacchi in Russia, Ucraina (i Paesi più colpiti) ma anche in Polonia, in Italia, in UK, Germania, Francia, Usa e altri Paesi ancora. E si tratterebbe di un attacco complesso con diversi vettori.
Al momento Kaspersky è impegnata a rilasciare nuove firme tra cui il componente System Watcher per determinare se sia possibile decrittografare i dati bloccati nell’attacco. Kaspersky utilizza un componente ransomware che deve rimanere attivato e che riceverà tutti gli aggiornamenti necessari in questi giorni, intanto consiglia di utilizzare a funzione AppLocker per disabilitare l’esecuzione di tutti i file che riportano il nome perfc.dat e l’Utility PSExec dalla suite Sysinternals.
TrendMicro dichiara invece di non avere rilevato al momento casi di infezione in Italia mentre i laboratori hanno provato a testare un attacco con le soluzioni XGen che si sono dimostrate in grado di bloccare questo ransomware grazie al machine learning. Anche sui sistemi non patchati dopo WannaCry.
Juniper Networks ha analizzato Petya nei suoi laboratori e verificato come le tecnologie SkyATP and IDP siano in grado di rilevare il malware. E soprattutto evidenzia come ancora una volta Petya sia in verità un malware della tipologia Maas (Malware As A Service).
Petya attaccherebbe con quattro modalità principali: CVE-017-0199 (Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API), vettore client based via email; poi il tentativo di connessione a 84.200.16.242/myguy.xls che è un file HTA di Microsoft, quindi in abbinata con la connessione a french-cooking[.]com viene scaricato un altro eseguibile myguy.exe su un sistema locale a numero variabile .exe. A questo punto il ransomware tenta l’utilizzo di un secondo vettore sfruttando MS017-010 (Windows SMB Remote Code Execution Vulnerability) e EternalBlue.
Sophos a sua volta ci aiuta e spiega come difendersi e cosa fare. Riportiamo qui di seguito i consigli del vendor, in linea con i pareri degli altri:
1. Prima di tutto asssicurarsi che i propri sistemi abbiano installato le ultime patch, inclusa la patch di Microsoft MS17-010;
2. Valutare di bloccare Microsoft PsExec, rendendolo non eseguibile sui computer degli utenti. È possibile bloccarlo usando la soluzione del vendor Sophos Endpoint Protection. Una versione di questo strumento Microsoft è infatti sfruttata da Petya per diffondersi automaticamente.
3. Effettuare il backup regolarmente e tenere sempre una copia del backup, più recente possibile, off-site. Ci sono una dozzina di modi in cui i file possono essere irrimediabilmente corrotti, oltre naturalmente ad un attacco ransomware. Un’eliminazione accidentale, un furto, un danneggiamento dell’hardware dovuto ad agli urti. È necessario inoltre criptare il proprio backup per evitare che possa essere rubato.
4. Evitare di aprire allegati da destinatari sconosciuti, anche se lavorate spesso con allegati di email
I software di protezione Sophos possono evitare l’infezione, come accade già per la maggior parte delle soluzioni di protezione dei vendor più conosciuti.
Resta abbastanza sorprendente come per evitare l’infezione sembra basti tenere patchati i sistemi, e tenere installato e in funzione un software antivirus di qualità. Allo stesso tempo si confermano molto alti i rischi di minaccia infrastrutturali e in ambito IoT. Non è certo una via percorribile quella di spegnere tutto e staccare i cavi di rete (che pure è il rimedio migliore in caso di attacco), ma certo bisogna acquisire altri livelli di sensibilità nei confronti delle minacce informatiche.
In questo caso i cyber criminali hanno sfruttato il meglio di due minacce per generarne una terza ancora più pericolosa. Allo stesso tempo se pensiamo che tantissimi sistemi medicali, collegati in rete, e venduti ancora in questi mesi, utilizzano Windows Xp è comprensibile come i rischi restino comunque elevati e le superfici di attacco e propagazione molto ampie. Per questo continuiamo a nostra volta a chiedere che il supporto sicurezza anche per sistemi operativi non recenti ma ancora molto utilizzati come Windows Xp e Windows 7 sia correlato al loro effettivo utilizzo e non a una roadmap predefinita a tavolino.
