Oggi è stato riscontrato in diversi Paesi e in modo particolare in Ucraina un ennesimo attacco ransomware,che pare essersi svolto con modalità simili a quelle di Wannacry. L’Italia per ora sembra immune
Quasi non abbiamo finito di raccontare e spiegare nel dettaglio che cosa è successo con il caso Wannacry che, a distanza di poche settimane, abbiamo a che fare con un altro pericolosissimo attacco. Sempre della famiglia dei ransomware, capace cioè di crittografare e rendere inservibili tutti i file del dispositivo colpito e di chiedere un riscatto per ottenerne la “decifrazione”. Questa volta a essere colpiti appaiono soprattutto i Paesi dell’Est Europa, in primis Russia e Ucraina, che si sono anche scambiate accuse sulle rispettive responsabilità. In Ucraina la situazione appare particolarmente grave: tra le vittime ci sarebbe la banca centrale del paese, l’aeroporto internazionale e la metropolitana di Kiev, l’azienda energetica Ukrenego e persino la centrale nucleare di Chernobyl, quella del famoso incidente del 1986, avrebbe accusato dei problemi ai sistemi di controllo delle radiazioni (non tali da impattare sulla sicurezza complessiva) a causa del ricatto del ransomware.
Tanto che anche il premier ucraino Volodomyr Groysman ha rilasciato una dura dichiarazione: «Un attacco hacker senza precedenti ha colpito l’Ucraina ma i nostri specialisti informatici fanno il loro lavoro e proteggono le infrastrutture cruciali. I sistemi vitali non sono stati danneggiati, l’attacco verrà respinto e i responsabili saranno individuati».
Ma nel mirino del cybercrime ci sono anche altre realtà: tra queste il colosso petrolifero Rosneft, il gruppo francese Saint Gobain, l’agenzia pubblicitaria britannica Wpp e la società di trasporti marittimi Moller-Maersk (la prima ad aver denunciato l’attacco). Ovviamente a poche ore di distanza dall’attacco, è difficile avere un’idea chiara delle origini di questo attacco, ma i principali vendor del settore hanno già rilasciato i primi commenti. Secondo KasperskyLab, si è trattato di un attacco complesso che coinvolge diversi vettori. In particolare, un exploit modificato EternalBlue è utilizzato per la propagazione almeno all’interno delle reti aziendali, in maniera del tutto simile a Wannacry.
Secondo Gastone Nencini, country manager di Trend Micro, «Al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco. Il ransomware Petya utilizza la stessa vulnerabilità di WannaCry. I nostri laboratori hanno testato un attacco ed è importante sottolineare come le nostre soluzioni siano in grado di bloccare questo ransomware grazie alle loro capacità di machine learning. Questo anche in caso i sistemi non siano stati patchati dopo WannaCry. Le aziende che utilizzano la nostra tecnologia XGen sono al sicuro. Siamo pronti per rispondere al meglio a questo attacco».
Sulla stessa linea anche Maurizio Desiderio, Country Manager F5 Italia:«Questa ultima ondata di quello che sembra essere ransomware è solo un altro esempio delle minacce reali che le organizzazioni, i governi e i paesi di tutto il mondo devono affrontare. Questi attacchi stanno alzando la posta in gioco in quanto colpiscono servizi che incidono sull’attività quotidiana delle persone, quali servizi sanitari, postali e di trasporto. Il riscatto richiesto di 300 dollari per rilasciare i dati crittografati sembra poca cosa, ma aumenterà molto rapidamente. Il problema più importante è l’impatto che un attacco simile ha sulle infrastrutture nazionali. Entrando nel nuovo mondo dell’IoT e dei dispositivi connessi, con ogni elemento che si concentra sull’applicazione, la superficie di attacco digitale continua a crescere. In questo modo gli aggressori hanno più possibilità di infiltrarsi nei dati. Più attenzione deve essere posta sull’applicazione e sulla sicurezza dei dati. Inoltre, serve una maggiore educazione alla sicurezza informatica nella vita quotidiana di tutti».
I consigli sono ovviamente quelli di sempre: aggiornare il software Windows e verificare di avere effettuato il back up dei propri dispositivi e che la soluzione di rilevamento dei ransomware sia in esecuzione.