<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=678417352329616&amp;ev=PageView&amp;noscript=1">
Di Redazione 1-ago-2017 18.06.07

La storia del ransomware Petya e cosa ci insegna

Il Ransomware Petya ha messo in ginocchio le aziende europee. La prima a essere colpita, alla fine di giugno, è stata la banca centrale dell’Ucraina. In ginocchio anche la società telefonica, i bancomat, la metro e l’aeroporto di Kiev.

Il contagio di Petya è stato rapidissimo e ha colpito anche gli impianti di controllo della centrale nucleare di Chernobyl, che è passata ai controlli manuali per il monitoraggio delle radiazioni.

Anche se la prima nazione a essere colpita è stata l’Ucraina, il ransomware si è diffuso in oltre 65 nazioni, tra cui Belgio, Brasile, Germania, Russia e Stati Uniti: più di 12.500 macchine sono state coinvolte. Tra le vittime, il colosso del trasporto marittimo danese Maersk, il gigante della pubblicità britannico Wpp e la società francese Saint-Gobain. Negli Stati Uniti la ditta farmaceutica Merck è stata la prima società a dare l'allarme, seguita anche da un ospedale di Pittsburgh e dal famoso studio legale DLA Piepr.

L'origine del ransomware Petya

L’infezione iniziale può essere ricondotta al software di contabilità fiscale di una società ucraina chiamata MeDoc. Nell'infrastruttura di questa azienda è stata rilevata una vulnerabilità allarmante nei server, che avrebbe consentito in modo semplice di generare l'attacco. Le autorità ucraine hanno già accusato MeDoc per aver ignorato una tale vulnerabilità e l'azienda rischia sanzioni penali.

Un ransomware che già esisteva

L'entità dell’attacco ha alimentato il dibattito in cui ci si chiede se il malware sia una nuova minaccia oppure una versione più sofisticata di Petya, malware utilizzato lo scorso anno. Sembrerebbe che il ransomware sia “una nuova variante” di Petya, nome già usato nel 2016.

Il nome: Petya o PetrWrap

Il fatto che questo ransomware già esisteva, ha portato a dibattere sul nome da dargli. Alcuni inizialmente lo hanno chiamatoPetrWrap”, altri analisti hanno definito il malware “NotPetya”, per sottolineare le differenze rispetto all’originale. C'è chi ha proposto di chiamarlo “Goldeneye”, dal nome di un altro ceppo recente del ransomware di Petya. Il ricercatore polacco Hasherezade afferma che gli elementi fondamentali del codice malware assomiglino all’originale e secondo lui è giusto chiamarlo “un’evoluzione di Petya”.

Cosa si rischia e come ci si protegge

Petya richiede un pagamento di bitcoin pari a $ 300 per recuperare i file crittografati e i dischi rigidi. Il malware utilizza un riavvio per crittografare i file. A quel punto, gli utenti visualizzano un falso messaggio “Chkdsk in bianco e nero sullo schermo, nel quale si legge che si è verificato un errore e che il sistema sta controllando l’integrità del disco. Questa è l’ultima possibilità, secondo gli esperti di sicurezza, per far sì che gli utenti possano disattivare i propri computer e proteggere i file prima che vengano crittografati nell’attesa del riscatto.

Per evitare Petya, come per molti altri attacchi, è fondamentale non cliccare mai su link o su file che provengono da mittenti sospetti o sconosciuti.

Petya-ransomware

Cosa ci insegna la storia di Petya

Petya ha attaccato la Russia, perché i sistemi russi non sono costantemente aggiornati e risultano quindi i più vulnerabili. Il paradosso è che Wannacry e Petya hanno utilizzato la stessa porta d’ingresso: una falla di Windows, che probabilmente ha permesso di colpire anche la centrale di Chernobyl. Evidentemente dagli errori passati non si è imparato nulla (o comunque, non abbastanza).

Quello che emerge da questo attacco è che le aziende di ogni dimensione e settore, pubbliche e private, devono dare priorità alle patch dei sistemi per abbassare il loro profilo di rischio. Dobbiamo affrontare queste vulnerabilità il più rapidamente possibile.

Inoltre, il backup dei dati importanti è fondamentale e va introdotto in qualsiasi processo di security.