XQuesto sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie. Accetto

Il blog ufficiale Darnet

Epidemia di Petya (Petrwap)

Sulla scia dell’epidemia di un mese fa denominata WannaCry, dalla giornata di ieri una nuova minaccia ransomware sta mietendo vittime soprattutto in Europa.

petya-pc

Secondo diversi ricercatori il virus discende dal malware Petya, già noto dal 2016, ma ulteriormente elaborato e potenziato per sfruttare le stesse falle su cui faceva leva WannaCry, presenti in diverse versioni del sistema operativo Windows (per cui Microsoft ha già rilasciato la patch il 14 marzo scorso denominata MS17-010).

Tuttavia l'analisi del malware è ancora in corso e alcuni ricercatori indicano che potrebbero essere sfruttati anche altri metodi di diffusione che non si avvantaggiano delle vulnerabilità note ma tentano il collegamento con privilegi amministrativi ad altri PC nella rete (alle share admin$ e c$) utilizzando la stessa password dell'utente.

Sembra quindi che oltre alla modalità Ransomware il "nuovo Petya" (o NotPetya come è stato chiamato da alcuni produttori di Antivirus) sia anche un Credential Stealer ovvero in grado di estrarre lo username e la password dell'utente ed inviare questi dati ad un server remoto sotto il controllo degli attacanti oltre a sfruttare tali informazioni per accedere a sistemi locali.

Il virus si comporterebbe quindi come un worm ovvero autoreplicandosi nella rete aziendale ed infettando altri computer presenti con l'obbiettivo di cifrarne i file e rilasciando la chiave di decifratura solo a seguito del pagamento di un riscatto (attualmente circa 300$ in bitcoin).

La modalità di infezione iniziale resta sempre la mail: un excel in allegato scarica ed esegue in modalità nascosta un programma (una DLL, per la precisione) che oltre alla propria diffusione ed alla cifratura dei file imposta un riavvio del computer dopo circa un'ora dalla propria installazione. Al riavvio provvede alla cifratura di file e sezioni principali del disco fisso (Master Boot Record, e Master File Table) mentre mostra all'utente una schermata di verifica a cui l'utente potrebbe essere familiare.

fake-chkdsk.png

Avast dichiara che sono stati rilevati oltre 12.000 tentativi di attacco, in particolare sembra che il malware sia particolarmente diffuso in grosse aziende Europee tra cui centrali elettriche (anche i sistemi di controllo delle radiazioni della centrale di Chernoby), aziende di trasporti e pubblicità. Il wallet bitcoin legato al malware risulta aver ricevuto decine di pagamenti. L'indirizzo e-mail per contattare gli attaccanti, tuttavia, è stato disabilitato dal provider pertanto è assolutamente sconsigliato tentare di pagare il riscatto.

Mentre online circolano diverse soluzioni per evitare o minimizzare gli effetti di questa infezione, si possono raccomandare, in linea generale, comportamenti e modalità di protezione già viste in casi precedenti e che dovrebbero sempre attive, come:

  • mantenere aggiornati i proprio sistemi e software antivirus;
  • attivare regole di filtering della posta elettronica (antispam, antivirus, antiphishing);
  • evitare il normale utilizzo delle proprie postazioni di lavoro con privilegi amministrativi.

Ma soprattutto vanno formati ed informati gli utenti sul corretto utilizzo delle mail per evitare l'apertura di file allegati indesiderati.

Per chi volesse maggiori informazioni tecniche, sono disponibili qui

Cert-PA ed il CERT Nazionale hanno rilasciato annunci in merito a questa ondata di malware.

28 Giugno 2017

Darnet UK ltd
sede legale:
152 City Road
EC1V 2NX London (UK)

tel +44(0)20 36 08 64 50
mail: info@darnetltd.co.uk
twitter: @DarnetInfo

Company Number: 08497464

Darnet Servizi srls
sede legale:
via Vittorio Cadel 9
33100 Udine (UD)
sede operativa:
via Galileo Galilei 9
33010 Tavagnacco (UD)

tel +39(0)432 18 45 760
mail: info@darnet.it

CF/PI: 02816690305

Commento inviato

Il nostro staff valuterà il commento e lo renderà pubblico il prima possibile
© Made in Web Industry