Dopo appena un mese da WannaCry, si torna a parlare di ransomware con un nuovo attacco che da ieri sta investendo l’Europa partendo dall’Ucraina, dove il contagio è stato massiccio colpendo anche la banca centrale, l’aeroporto e la metropolitana di Kiev, fino alla centrale nucleare di Cernobyl, quest’ultima senza particolari conseguenze.
Notizie di infezioni arrivano anche dalla Danimarca, dove è stata colpita la società di trasporto marittimo AP Moller-Maersk, dalla Russia che ha visto infetta la compagnia petrolifera e dall’Olanda con la casa farmaceutica Merck. Il malware ha anche infettato i sistemi informatici dell’agenzia pubblicitaria britannica WPP e la multinazionale francese Saint-Gobain, fornitrice di prodotti per l’edilizia.
Il ransomware sembra appartenere alla famiglia Petya, attualmente rilevato da ESET come Win32 / Diskcoder.C Trojan
Come funziona Petya?
Petya attacca l’MBR (Master Boot Record) del disco, una parte fondamentale del sistema di avvio che contiene le informazioni sulle partizioni del disco rigido e aiuta ad avviare il sistema operativo. Se il malware infetta con successo l’MBR, sarà crittografato l’intero disco, in caso contrario saranno crittografati tutti i file.
Il nuovo malware sembra utilizzare una combinazione dell’exploit EternalBlue utilizzato in precedenza da WannaCryptor, che sfrutta la vulnerabilità del Service Message Block (SMB) di Windows per infiltrarsi all’interno della rete, carpire le credenziali dei PC ad essa collegati e diffondersi attraverso l’utility PsExec scritta originariamente dagli sviluppatori di Windows Sysinternals.
Questa potente combinazione è probabilmente il motivo per cui l’epidemia si sta diffondendo rapidamente, nonostante dopo l’attacco di WannaCry la maggior parte delle vulnerabilità avrebbero dovuto essere risolte tramite l’applicazione delle patch di sicurezza.
E’ sufficiente infatti un solo computer privo di questi specifici aggiornamenti per dare accesso al malware che, una volta assunti i diritti di amministratore, si diffonderà su altri computer.
Come probabili vettori dell’infezione sembrerebbe siano stati sfruttati il sistema di aggiornamento automatico del software ucraino MeDoc, che una volta compromesso ha inviato aggiornamenti infetti agli utenti finali, e l’apertura di allegati email .xls che attivano delle macro.
Una volta infettato, il malware attende un tempo variabile tra i 10 e i 60 minuti prima di effettuare un riavvio che innescherà la cifratura, e secondo i ricercatori di sicurezza è possibile cercare di prevenire la compromissione del sistema spegnendo il PC prima che si riavvii autonomamente.
Le vittime colpite vedranno bloccato l’accesso ai PC, potendo visualizzare esclusivamente le istruzioni su come procedere per ottenere nuovamente il controllo del proprio computer, ovvero versare 300 dollari su un conto Bitcoin e successivamente inviare un’e-mail a un indirizzo di posta Posteo, tramite cui non vengono tracciati gli indirizzi IP e la connessione non viene cifrata.
L’indirizzo e-mail in questione è stato chiuso, pertanto anche volendo cedere all’estorsione dei cyber criminali, non sarà più possibile farlo.
E’ possibile verificare se il sistema operativo Windows è protetto dalla vulnerabilità attraverso lo strumento di ESET EternalBlue vulnerabilità Checker.
fonte Eset.it