Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

In corso massiccia campagna di diffusione del ransomware Petya

EternalBlue  Petya  ransomware  WannaCry   martedì, 27 giugno 2017

È attualmente in corso una nuova massiccia campagna di diffusione di malware appartenente alla categoria dei ransomware, in questo caso una variante del già noto Petya.

Anche se il vettore iniziale di attacco non è noto, questo ransomware si sta diffondendo rapidamente sulla rete sfruttando ancora una volta l’exploit EternalBlue, già utilizzato in altre recenti campagne, tra cui ricordiamo quelle di WannaCry, UIWIX e Adylkuzz.

Stando alle prime analisi disponibili da fonti aperte, questa variante di Petya è una combinazione dei due malware Petya e Mischa (conosciuta anche come GoldenEye). Se lanciato con i diritti di amministratore, Petya/Mischa cifra l’MBR del disco rigido bloccando l’accesso alle macchine infette, altrimenti si comporta come un tipico crypto-ransomware, cifrando i file utente e richiedendo un riscatto in bitcoin.

Le fonti di stampa riportano che le principali vittime di questa campagna includono diverse infrastrutture in Ucraina, tra cui aziende elettriche, aeroporti, sistemi del trasporto pubblico e la banca centrale, un’importante ditta di spedizioni danese, la compagnia petrolifera russa Rosnoft e altre compagnie in India, Spagna, Francia e Regno Unito.

Data la pericolosità di questa nuova minaccia, si raccomanda ad utenti e sistemisti di aggiornare i sistemi Windows vulnerabili ad EternalBlue seguendo le istruzioni già fornite nel caso di WannaCry.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia inoltre di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Aggiornamento (28 giugno 2017)

Anche se al momento il vettore iniziale di attacco non è confermato, alcuni analisti ritengono che questa ondata di infezioni sia partita dall’Ucraina, dove il malware è stato distribuito assieme agli aggiornamenti di un software di gestione documentale molto diffuso in ambiente aziendale, prodotto dalla società ucraina MeDoc, i cui server sarebbero stati compromessi da un attacco informatico. Altre fonti riportano l’utilizzo di Email fraudolente con allegato un documento di Microsoft Office malevolo.

Una volta che questa variante di Petya, a cui viene anche fatto riferimento coi nomi PetrWrap e (not)Petya, penetra in un computer connesso ad una rete aziendale, tenta di diffondersi infettando altre macchine connesse sulla rete locale sfruttando diverse tecniche, tra le quali una versione modificata dell’exploit EternalBlue (lo stesso usato da WannaCry) e EternalRomance, un altro exploit che sfrutta il protocollo SMBv1 (porta TCP 445) per attaccare i sistemi Windows XP/Vista/7 e Windows Server 2003/2008.

Se su una macchina infetta è attiva un’utenza con privilegi di amministratore, questa variante di Petya è in grado di replicarsi in tutti gli altri computer connessi alla stessa rete locale sfruttando le funzionalità di amministrazione remota di Windows WMI (Windows Management Instrumentation) o PsExec.

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto