Il ransomware Petya si è già evoluto: la sua variante si chiama Nyetya
Una nuova minaccia si aggira per l’Europa: il virus ransomware Petya, che si è già evoluto con la variante Nyetya.
Il mondo riprende a tremare: dopo la diffusione del ransomware WannaCry, capace di colpire 300mila computer in pochi giorni, nelle giornate del 27 e 28 giugno scorse i sistemi informatici di diverse aziende si sono scontrati con Petya, il nuovo virus che è partito dall’Est Europa e si è diffuso in tutto il continente. Al momento tra i paesi più colpiti c’è l’Ucraina, dove sono stati bloccati i sistemi informatici del governo, della Banca Centrale, degli aeroporti e della metropolitana di Kiev. Tra le vittime illustri del ransomware Petya figura anche la famosa centrale di Chernobyl, sebbene non siano stati segnalati particolari malfunzionamenti nei suoi sistemi.
Ma non è più solo Petya la minaccia ransomware globale: il virus che ha messo in crisi il sistema informatico di mezza Ucraina minaccia di diffondersi a macchia d’olio in Europa grazie a una sua variante che Talos, il dipartimento di Intelligence di Cisco, ha chiamato Nyetya.
La stessa pista di WannaCry
I ricercatori di Talos ritengono che il primo attacco verificatosi in Ucraina abbia avuto origine da sistemi di aggiornamento software di un pacchetto contabile fiscale ucraino chiamato MeDoc. Ma l’aspetto più inquietante è che una volta che questo ransomware è entrato nel sistema, utilizza tre modi per diffondersi automaticamente in una rete, uno dei quali è la nota vulnerabilità Eternal Blue, simile a quanto è avvenuto con l’attacco WannaCry del mese scorso.
Inoltre la nuova variante Nyetya non permette nemmeno di accendere il computer per intervenire in quella manciata di secondi che c’è tra il momento in cui si spinge il pulsante “on” e quello in cui si avvia il sistema operativo: il virus colpisce in quel lasso di tempo!
L’Italia seconda sola all’Ucraina
Secondo i ricercatori di Eset, produttore di software per la sicurezza digitale europeo, l’Italia è il secondo Paese più colpito dal virus Petya dopo l’Ucraina. Gli specialisti di Eset hanno individuato il punto da cui si è propagata la nuova epidemia causata da Petya:
I cyber criminali hanno compromesso con successo il software di contabilità M.E.Doc utilizzato in molte aziende in Ucraina tra cui istituzioni finanziarie, aeroporti e metropolitane. Molte di queste hanno eseguito un aggiornamento di M.E.Doc compromesso dal malware, che ha permesso ai cyber criminali di lanciare ieri pomeriggio la massiccia campagna di ransomware che si è poi diffusa in tutto il mondo.
Secondo le statistiche di Eset, l’Italia – con il 10% delle rilevazioni – è il secondo Paese attualmente più colpito dall’infezione, preceduto solo dall’Ucraina (78%). Segue Israele con il 5%, Serbia con il 2% poi Romania, Stati Uniti, Lituania e Ungheria con l’1% delle rilevazioni.
Il modus operandi di Petya e Nyetya
Le modalità di attacco dei malware sono quelle tipiche dell’attacco ransomware: criptano i dati contenuti nei pc colpiti e richiedono un riscatto per accedere nuovamente alle proprie informazioni. Stando alle informazioni raccolte, gli hacker pretendono il pagamento di 300 dollari in bitcoin per ogni computer colpito. Per infettare i sistemi, i virus hanno sfruttato una falla presente nel protocollo SMB di Windows, ovvero la porta utilizzata da stampanti e computer per comunicare tra loro. Se i virus riesce nell’intento di infettare il computer principale di una rete aziendale, mandano in blocco tutti i pc.
Petya e Nyetya sono molto pericolosi, dato che sono pochissimi gli antivirus che riescono a riconoscerli e fermarli. Inoltre, come accaduto per WannaCry, la propagazione dei malware sembra veramente inarrestabile: cresce di minuto in minuto, travolgendo aziende pubbliche e private di ogni paese.
Come difendersi
Quello che emerge da questo attacco è che le aziende di ogni dimensione e settore, pubbliche e private, devono dare priorità alle patch dei sistemi per abbassare il loro profilo di rischio, oltre a fare il backup dei dati importanti e adottare qualsiasi misura di sicurezza.
L’unico strumento a disposizione degli utenti è la prevenzione: molto spesso per difendersi da queste tipologie di attacchi basta seguire alcune semplici regole:
- Aggiornare costantemente antivirus e sistema operativo
- Non cliccare su link che arrivano da persone che non si conoscono o che non si ritengono affidabili
- Non cliccare su banner pubblicitari poco chiari
- Non aprire mail provenienti da sconosciuti
- Non scaricare allegati che non si ritengono sicuri
- Effettuare costantemente il backup dei dati