Questo attacco è preoccupante perché è il secondo grande attacco ransomware in due mesi, che ha colpito le aziende di tutto il mondo. Potresti ricordare che a maggio il National Health Service, il NHS, in Gran Bretagna, era stato infettato da malware chiamato WannaCry. Questo programma ha colpito il NHS e numerose altre organizzazioni in tutto il mondo. WannaCry è stato rivelato per la prima volta al pubblico quando i documenti trapelati relativi all'NHS sono stati rilasciati online dagli hacker noti come Shadow Broker ad aprile.
Il software WannaCry, chiamato anche WannaCrypt, ha interessato oltre 230.000 computer, che si trovavano in più di 150 paesi in tutto il mondo. Oltre al NHS, anche Telefonica, una compagnia telefonica spagnola e le ferrovie statali in Germania sono state attaccate.
Simile a WannaCry, "Petya" si diffonde rapidamente attraverso le reti che utilizzano Microsoft Windows. La domanda è, comunque, cos'è? Vogliamo anche sapere perché sta accadendo e come può essere fermato.
Che cos'è il ransomware?
La prima cosa che devi capire è la definizione di ransomware . Fondamentalmente, il ransomware è un tipo di malware che funziona per bloccare l'accesso a un computer o ai dati. Quindi, quando provi ad accedere a quel computer o ai dati su di esso, non puoi raggiungerlo a meno che non paghi un riscatto. Abbastanza cattivo, e decisamente cattivo!
Come funziona Ransomware?
È anche importante capire come funziona il ransomware. Quando un computer viene infettato da ransomware, diventa crittografato. Ciò significa che i documenti sul tuo computer sono quindi bloccati e non puoi aprirli senza pagare un riscatto. Per complicare ulteriormente le cose, il riscatto deve essere pagato in Bitcoin, non in contanti, per una chiave digitale che è possibile utilizzare per sbloccare i file. Se non hai un backup dei tuoi file, hai due possibilità: puoi pagare il riscatto, che di solito è un paio di centinaia di dollari per diverse migliaia di dollari, o perdi l'accesso a tutti i tuoi file.
Come funziona il "Petya" Ransomware?
Il ransomware "Petya" funziona come la maggior parte dei ransomware. Prende il controllo di un computer e poi chiede $ 300 in Bitcoin. Si tratta di un software dannoso che si diffonde rapidamente attraverso una rete o un'organizzazione una volta infettato un singolo computer. Questo particolare software utilizza la vulnerabilità EternalBlue, che fa parte di Microsoft Windows. Sebbene Microsoft abbia ora rilasciato una patch per la vulnerabilità, non tutti l'hanno installata. Il ransomware è anche potenzialmente diffuso tramite strumenti di amministrazione di Windows, che è accessibile se non ci sono password sul computer. Se il malware non riesce a entrare in un modo, ne prova automaticamente un altro, che è il modo in cui si è diffuso così rapidamente tra queste organizzazioni.
Quindi, "Petya" si diffonde molto più facilmente di WannaCry, secondo gli esperti di sicurezza informatica.
C'è un modo per proteggersi da "Petya?"
Probabilmente ti starai chiedendo a questo punto se c'è un modo per proteggersi da "Petya". La maggior parte delle maggiori compagnie di antivirus hanno affermato di aver aggiornato il loro software per aiutare non solo a rilevare, ma a proteggere contro l'infezione da malware "Petya". Ad esempio, il software Symantec offre protezione da "Petya" e Kaspersky ha aggiornato tutti i suoi software per aiutare i clienti a proteggersi dal malware. Oltre a questo, puoi proteggerti mantenendo Windows aggiornato. Se non fai altro, installa almeno la patch critica rilasciata da Windows a marzo, che difende questa vulnerabilità EternalBlue. Ciò impedisce uno dei principali modi per infettarsi e protegge anche dagli attacchi futuri.
È anche disponibile un'altra linea di difesa per l'epidemia di malware "Petya", che è stata scoperta solo di recente. Il malware controlla l'unità C: \ per un file di sola lettura denominato perfc.dat. Se il malware trova questo file, non esegue la crittografia. Tuttavia, anche se si dispone di questo file, in realtà non impedisce l'infezione da malware. Può ancora diffondere il malware ad altri computer su una rete anche se l'utente non se ne accorge sul proprio computer.
Perché questo malware è chiamato "Petya?"
Ci si potrebbe anche chiedere perché questo malware si chiami "Petya". In realtà, non è tecnicamente chiamato "Petya". Invece, sembra condividere un sacco di codice con un vecchio pezzo di ransomware che è stato chiamato "Petya". Entro le ore in seguito allo scoppio iniziale, tuttavia, gli esperti di sicurezza hanno notato che questi due ransomware non erano così simili come si pensava. Così, i ricercatori di Kaspersky Lab hanno iniziato a riferirsi al malware come "NotPetya" (che è originale!) Così come altri nomi tra cui "Petna" e "Pneytna". Inoltre, altri ricercatori hanno chiamato il programma altri nomi tra cui "Goldeneye", che Bitdefender, dalla Romania, ha iniziato a chiamarlo. Tuttavia, "Petya" si era già bloccato.
Dove è iniziato "Petya"?
Ti stai chiedendo dove è iniziata "Petya"? Sembra che sia iniziato attraverso un meccanismo di aggiornamento da software incorporato in un determinato programma di contabilità. Queste società stavano lavorando con il governo ucraino e richiesto dal governo per utilizzare questo particolare programma. Questo è il motivo per cui così tante aziende in Ucraina sono state colpite da questo. Le organizzazioni includono banche, governo, il sistema metropolitano di Kiev, il principale aeroporto di Kiev e le centrali elettriche statali.
Il sistema che monitora i livelli di radiazioni a Chernobyl è stato anche influenzato dal ransomware e alla fine è stato portato offline. Ciò ha costretto i dipendenti a utilizzare dispositivi manuali portatili per misurare la radiazione nella zona di esclusione. Oltre a questo, c'è stata una seconda ondata di infezioni da malware che sono state generate da una campagna che conteneva allegati di e-mail, che erano pieni di malware.
Quanto è diffusa l'infezione da "Petya"?
Il ransomware "Petya" si è diffuso in lungo e in largo, e ha sconvolto il business delle società negli Stati Uniti e in Europa. Ad esempio, WPP, una società di pubblicità negli Stati Uniti, Saint-Gobain, una società di materiali da costruzione in Francia, e sia Rosneft che Evraz, compagnie petrolifere e siderurgiche in Russia, sono state anch'esse colpite. Anche una società di Pittsburgh, Heritage Valley Health Systems, è stata colpita dal malware "Petya". Questa azienda gestisce ospedali e strutture di assistenza in tutta l'area di Pittsburgh.
Tuttavia, a differenza di WannaCry, il malware "Petya" tenta di diffondersi rapidamente attraverso le reti a cui accede, ma non tenta di diffondersi al di fuori della rete. Questo fatto da solo potrebbe aver effettivamente aiutato potenziali vittime di questo malware, in quanto ne ha limitato la diffusione. Quindi, sembra esserci una diminuzione di quante nuove infezioni sono state viste.
Qual è la motivazione per i criminali informatici che inviano "Petya?"
Quando inizialmente "Petya" fu scoperto, sembra che lo scoppio del malware fosse semplicemente un tentativo da parte di un criminale informatico di sfruttare le cyber-armi online trapelate. Tuttavia, quando i professionisti della sicurezza hanno guardato un po 'più da vicino l'epidemia di malware "Petya", affermano che alcuni meccanismi, come il modo in cui viene raccolto il pagamento, sono abbastanza dilettantistici, quindi non credono che dietro di essi vi siano gravi criminali informatici.
Innanzitutto, la nota di riscatto fornita con il malware "Petya" include lo stesso identico indirizzo di pagamento per ogni utente malato di malware. Questo è strano perché i professionisti creano un indirizzo personalizzato per ciascuna delle loro vittime. In secondo luogo, il programma chiede alle sue vittime di comunicare direttamente con gli aggressori tramite uno specifico indirizzo e-mail, che è stato immediatamente sospeso quando è stato scoperto che l'indirizzo e-mail è stato utilizzato per le vittime di "Petya". Ciò significa che anche se una persona paga il riscatto di $ 300, non può comunicare con gli aggressori e inoltre non può accedere alla chiave di decrittografia per sbloccare il computer oi suoi file.
Chi sono gli aggressori, quindi?
Gli esperti di sicurezza informatica non credono che un criminale informatico professionista sia dietro al malware "Petya", quindi chi è? Nessuno sa a questo punto, ma è probabile che la persona o le persone che l'hanno rilasciata volevano che il malware assomigliasse a un semplice ransomware, ma invece è molto più distruttivo del tipico ransomware. Un ricercatore di sicurezza, Nicolas Weaver, ritiene che "Petya" sia un attacco malevolo, distruttivo e deliberato. Un altro ricercatore, che segue Grugq, crede che l'originale "Petya" facesse parte di un'organizzazione criminale per fare soldi, ma questo "Petya" non sta facendo lo stesso. Entrambi concordano sul fatto che il malware è stato progettato per diffondersi rapidamente e causare molti danni.
Come abbiamo detto, l'Ucraina è stata colpita alquanto da "Petya" e il paese ha puntato le dita contro la Russia. Questo non è sorprendente considerando che l'Ucraina ha accusato la Russia anche di una serie di attacchi informatici precedenti. Uno di questi attacchi informatici si è verificato nel 2015 ed era destinato alla rete elettrica ucraina. Alla fine ha finito per lasciare temporaneamente parti dell'Ucraina occidentale senza alcun potere. La Russia, tuttavia, ha negato qualsiasi coinvolgimento negli attacchi informatici in Ucraina.
Cosa dovresti fare se credi di essere vittima di un ransomware?
Pensi di poter essere vittima di un attacco di ransomware? Questo particolare attacco infetta un computer e attende circa un'ora prima che il computer inizi a riavviarsi spontaneamente. Se ciò accade, provare immediatamente a spegnere il computer. Ciò potrebbe impedire la crittografia dei file sul computer. A quel punto, puoi provare a rimuovere i file dalla macchina.
Se il computer termina il riavvio e non viene visualizzato un riscatto, non pagarlo. Ricorda, l'indirizzo email usato per raccogliere informazioni dalle vittime e per inviare la chiave è spento. Quindi, invece, disconnettere il PC da Internet e dalla rete, riformattare il disco rigido e quindi utilizzare un backup per reinstallare i file. Assicurati di eseguire sempre il backup dei file su base regolare e di mantenere sempre aggiornato il software antivirus.