Il ransomware Petya (noto anche come PetrWrap)- ha colpito i computer di almeno 65 paesi – potrebbe essere ricondotto ad un software di contabilità fiscale.
Il ransomware Petya – che ha colpito i computer di almeno 65 paesi – potrebbe essere ricondotto ad un software di contabilità fiscale di una società ucraina, spiega laMicrosoft: “Abbiamo visto le prime infezioni in Ucraina e più di 12.500 macchine sono state coinvolte. Abbiamo poi osservato infezioni in altri 64 Paesi, tra cui Belgio, Brasile, Germania, Russia e Stati Uniti”.
Indice dei contenuti
Petya in una versione più sofisticata
La complessità dell’attacco ha alimentato il dibattito in cui ci si chiede se il malware sia una nuova minaccia oppure una versione più sofisticata di Petya, malware già utilizzato in un attacco avvenuto la scorsa primavera. Secondo Microsoft il ransomware è “una nuova variante” di Petya, nome già usato l’anno scorso per un ransomware, aggiungendo di aver rilasciato dei nuovi aggiornamenti per proteggere i computer Windows. Anche altre società anti-virus hanno aggiornato i loro software nel tentativo di limitare i danni.
L’origine dell’infezione Petya
L’infezione iniziale può essere ricondotta al software di contabilità fiscale di una società ucraina chiamata MEDoc, dice Microsoft. Quella connessione è stata oggetto di una speculazione martedì, ma Microsoft ora dice di non avere le prove che dimostrino che alcune infezioni attive del ransomware siano iniziate da un legittimo processo di aggiornamento di MEDoc.
Petya ancora attivo, blocca gli aeroporti
Petya sta ancora tenendo in scacco gli aeroporti e alcuni sportelli automatici in Ucraina oltre ad ostacolare il lavoro di Maersk e della casa farmaceutica Merck. Tra le vittime anche gli ospedali della Pennsylvania Valley Heritage e Valley Health System.
Petya come WannaCry
Il malware è stato confrontato con l’episodio di WannaCry che ha colpito i computer in più di 150 paesi il mese scorso – ma finora Petya sembra che stia diffondendo più lentamente.
Così come WannaCry, il ransomware Petya richiede un pagamento di bitcoin pari a $ 300 per recuperare i file crittografati e i dischi rigidi. A partire da mercoledì mattina, il conto incriminato aveva già ricevuto circa 10.000 dollari. Ma in una contromossa la società tedesca che si occupa di posta elettronica, Posteo, ha bloccato l’indirizzo di posta elettronica che gli hacker di Petya stavano utilizzando per confermare i pagamenti di riscatto. Sebbene alcuni esperti di cybersecurity abbiano elogiato l’approccio, altri hanno fatto notare che gli utenti – i cui file sono stati presi in ostaggio – per mezzo di questo intervento avevano perso l’loro unico punto di contatto con gli hacker.
WannaCry è stato in gran parte neutralizzato dalla scoperta di un “kill switch” che poteva annullarne l’attività, ma non è ancora avvenuto lo stesso con Petya e gli esperti stanno ancora lavorando per trovare un modo per fermarlo.
Trovata una soluzione per Petya, un vaccino
Il ricercatore di sicurezza Amit Serper della Cybereason di Boston ha identificato un metodo che funziona essenzialmente come un vaccino per i computer infetti dal malware. Il suo metodo affronta il ransomware come se fosse già operativo su una macchina. Serper è stato ampiamente lodato per l’innovazione, ma egli stesso sostiene anche che la sua soluzione di correzione sia soltanto temporanea.
Petya o nonPetya?
Gli esperti di sicurezza si sono inoltre divisi sul modo in cui chiamare il ransomware. Alcuni lo hanno chiamato PetrWrap, analisti hanno definito il malware “NotPetya”, per sottolineare le differenze rispetto all’originale. Altri lo chiamano “Goldeneye”, dal nome di un altro ceppo recente del ransomware di Petya. Il ricercatore polacco Hasherezade afferma che gli elementi fondamentali del codice malware assomiglino all’originale e secondo lui “è giusto chiamarlo un’evoluzione di Petya”.
Le differenze tra Petya e WannaCry
WannaCry si basava su exploit rubati dall’Agenzia per la Sicurezza Nazionale (NSA – National Security Agency) incluso un programma denominato EternalBlue, che sfruttava una vulnerabilità di Microsoft. Utilizzando alcuni degli stessi exploit, Petya ha la capacità di dilagare attraverso reti di computer, raccogliendo password e credenziali e quindi diffondersi.
Come capire se si è colpiti dal Ransomware Petya
A seguito di un ritardo auto-imposto della durata di almeno 10 minuti, il malware utilizza un riavvio per crittografare i file. A quel punto, gli utenti visualizzano un falso messaggio “CHKDSK” in bianco e nero sullo schermo nel quale si legge che si è verificato un errore e che il sistema stia controllando l’integrità del disco. Questa è l’ultima possibilità, secondo gli esperti di sicurezza, per far sì che gli utenti possano disattivare i propri computer e proteggere i file prima che vengano crittografati nell’attesa del riscatto.
L’episodio WannaCry ha richiesto a molti amministratori di rete di aggiornare le patch di protezione. Ma Petya può ancora trovare modi per violare le macchine, raccogliendo password e credenziali da un computer. Sono stati in molti a paragonare l’ultimo ransomware ad una carneficina.
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
