È in fase di propagazione un attacco ransomware chiamato da alcuni Petya. Le prime avvisaglie sono state colte in Russia e Ucraina, proprio nella funesta Chernobyl.
Maurizio Desiderio, Country Manager F5 Italia lo inquadra come “ultima ondata di quello che sembra essere ransomware è solo un altro esempio delle minacce reali che le organizzazioni, i governi e i paesi di tutto il mondo devono affrontare. Questi attacchi stanno alzando la posta in gioco in quanto colpiscono servizi che incidono sull’attività quotidiana delle persone, quali servizi sanitari, postali e di trasporto. Il riscatto richiesto di 300 dollari per rilasciare i dati crittografati sembra poca cosa, ma aumenterà molto rapidamente. Il problema più importante è l’impatto che un attacco simile ha sulle infrastrutture nazionali.
Entrando nel nuovo mondo dell’IoT e dei dispositivi connessi, con ogni elemento che si concentra sull’applicazione, la superficie di attacco digitale continua a crescere. In questo modo gli aggressori hanno più possibilità di infiltrarsi nei dati. Più attenzione deve essere posta sull’applicazione e sulla sicurezza dei dati. Inoltre, serve una maggiore educazione alla sicurezza informatica nella vita quotidiana di tutti“.
Gastone Nencini, Country Manager Trend Micro Italia scongiura i pericoli per il nostro Paese. Al riguardo dice che “Al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco. Il ransomware Petya utilizza la stessa vulnerabilità di WannaCry. I nostri laboratori hanno testato un attacco ed è importante sottolineare come le nostre soluzioni siano in grado di bloccare questo ransomware grazie alle loro capacità di machine learning. Questo anche in caso i sistemi non siano stati patchati dopo WannaCry. Le aziende che utilizzano la nostra tecnologia XGen sono al sicuro. Siamo pronti per rispondere al meglio a questo attacco”.
Gli analisti di Kaspersky Lab stanno studiando la nuova ondata di attacchi di ransomware rivolti contro le organizzazioni di tutto il mondo. I risultati preliminari suggeriscono che non sia una variante del ransomware Petya, ma un nuovo ransomware che non è mai stato visto prima. Ecco perché lo hanno chiamato NotPetya.
I dati dell’azienda indicano finora circa 2.000 utenti attaccati. Le organizzazioni in Russia e l’Ucraina sono le più colpite. Registrati anche attacchi in Polonia, Italia, Regno Unito, Germania, Francia, Stati Uniti e diversi altri Paesi.
Questo ransomware sembra essere un attacco complesso che coinvolge diversi vettori d’attacco. Possiamo confermare che un exploit modificato EternalBlue è utilizzato per la propagazione almeno all’interno delle reti aziendali.
Kaspersky Lab rileva la minaccia come UDS: DangeroundObject.Multi.Generic.
Gli esperti di Kaspersky Lab desiderano rilasciare nuove firme, incluso il componente System Watcher nel più breve tempo possibile e determinare se sia possibile decrittografare i dati bloccati nell’attacco, con l’intento di sviluppare uno strumento di decrittografia non appena possibile.
Consigliano a tutte le aziende di aggiornare il loro software Windows e verificare di avere effettuato il back up dei propri dispositivi e che la soluzione di rilevamento dei ransomware sia in esecuzione.
I clienti di Kaspersky Lab sono inoltre invitati a:
• Verificare che tutte le soluzioni di protezione siano attivate come indicato; e che abbiano abilitato il componente KSN / System Watcher.
• Utilizzare la funzione AppLocker per disabilitare l’esecuzione di tutti i file che riportano il nome “perfc.dat”;
• così come l’Utility PSExec dalla suite Sysinternals.
