Dopo Wannacry è arrivato il Ransomware Petya: grossi problemi soprattutto nei paesi dell'est

Dopo l'attacco del mese scorso basato sul ransomware WannaCry, nelle ore passate è avvenuto un altro importante attacco basato su una variante del già noto rasomware Petya/Petrwrap. Costin Raiu, direttore di Global Research per Kaspersky Labs, riferisce che l'odierno ransomware ha colpito maggiormente l'Ucraina, e a seguire la Russa, sono stati riscontratri anche casi in Polonia, Italia, Spagna, Francia, Germania, India e Stati Uniti.

L'attacco è stato pssibile sfruttando EternalBlue, un exploit sviluppato, usato ed infine sottratto dalla National Security Agency. Secondo Kaspersky, l'attacco avvenuto nel tardo pomeriggio di ieri ha sfruttato anche un altro exploit chiamato EternalRomance. E' bene osservare che le vulnerabilità su cui fanno leva EternalBlue ed EternalRomance sono state risolte con una patch rilasciata da Microsoft già nel corso del mese di marzo, poco prima che il famigerato collettivo ShadowBrokers rilasciasse al pubblico gli strumenti di hacking sottratti all'NSA.

Durante l'attacco avvenuto ieri è stato usato anche lo strumento di hacking Mimikatz per l'estrazione di password da altri computer presenti sulla rete del sistema infetto, così da poter utilizzare le credenziali per utilizzare PSExec, un componente di Windows conosciuto con il nome di Windows Management Instrumentation allo scopo di infettare altre macchine, anche quelle non vulnerabili ad EternalBlue o a EternalRomance. In alcuni casi sembra inoltre che sia stato sfruttato il sistema di aggiornamento automatico di un software ucraino conosciuto con il nome di MeDoc, che è stato compromesso dal malware che ha preso il controllo del sistema che invia gli aggiornamenti agli utenti finali.

Secondo le analisi di Kaspersky, del gruppo Talos di Cisco e di Eset, sembra che MeDoc sia il punto di partenza dal quale ha preso il via l'infezione globale. La stessa MeDoc sul proprio sito web ha pubblicato un avvertimento piuttosto vago e stringato affermando "Attenzione! I nostri server hanno effettuao un attacco virus. Ci scusiamo per l'inconveniente". Una dichiarazione che in molti hanno interpretato come un'ammissione di colpevolezza, anche se una forma comunicativa di questo genere è piuttosto inusuale per un comunicato ufficiale. I rappresentati di MeDoc, inoltre, hanno dichiarato su Facebook che la società non è stata coinvolta.

Una volta che il sistema viene infettato, lascia trascorrere un tempo variabile tra i 10 e i 60 minuti prima di effettuare un reboot. I ricercatori di sicurezza affermano che per cercare di prevenire la compromissione del sistema potrebbe essere sufficiente spegnerlo prima che venga effettuato il reboot (ovviamente nel caso si abbia la consapevolezza di essere stati compromessi) e di mettersi nelle mani di un esperto di sicurezza che sappia come riavviare la macchina contenendo l'infezione.

A farne le spese sono stati, almeno stando alle informazoni note fino ad ora, oltre 12 mila computer. In Ucraina il ransomware ha paralizzato banche e il sistema elettrico di città come Ukrenego e Kyivenergo, anche l'aeroporto e la metropolitana di Kiev sono stati  interessati dall'attacco.

 La compagnia di spedizioni e di energia Danese Maersk è stata anch'essa colpita, e ha fornito il seguente messaggio attraverso il suo sito web:

"Possiamo confermare che i sistemi informatici Maersk sono bloccati a causa di un attacco informatico. Continuiamo a valutare la situazione. La sicurezza per i nostri dipendenti e per le operazioni di business dei nostri cliente sono la nostra priorità. Vi aggiorneremo quando avremo ulteriori informazioni"

Altre notizie di attacchi ransomware sono state segnalate in tutta la Russia e nel Regno Unito. Petya ha raggiunto anche gli Stati Uniti interessando ad esempio il noto studio legale DLA Piper Global il quale riferisce che i propri computer e sistemi telefonici sono stati bloccati per la maggior parte della giornata. Anche la multinazionale alimentare Mondelez International è stata colpita.