Not-Petya, i segreti del malware che spaventa il mondo

Un altro attacco mondiale: Not-Petya. Solamente un mese dopo il cyber attack di Wannacry, il mondo è ancora sotto attacco informatico.

Il malware è stato ribattezzato Not-Petya perché durante le prime ore dall’attacco gli analisti cyber pensavano si trattasse di una semplice variante del già conosciuto Petya, ma da verifiche successive è emerso che in realtà siamo di fronte a un nuovo ransomware, che ha colpito tutto il mondo con modalità simili a quelle di WannaCry.

I veicoli di infezione

Probabilmente gli allegati di posta e link malevoli, anche se in realtà non si esclude siano stati utilizzati anche altri vettori d’attacco come post sui social o file condivisi negli ambienti di file sharing.

Il ransomware ha sfruttato l’EternalBlue, un codice scritto dall’NSA – National Security Agency – che sfrutta vulnerabilità dei sistemi Windows.

Le vittime dell’attacco

Questa volta sono state e saranno ancora molteplici le vittime dei criminali informatici. Ecco le più rilevanti: compagnia navale danese Maersk, compagnie elettriche, banche e aeroporti dell’Ucraina, fino ad arrivare al sistema di controllo delle radiazioni nella centrale nucleare di Chernobyl.

Ma non è finita qui. Not-Petya oltre a colpire colossi importanti, ha colpito realtà minori come molte aziende in Italia e tutta Europa. L’Italia risulta essere infatti il secondo Paese in Europa per numero di attacchi subiti.

Il discorso è molto più ampio se andiamo ad analizzare tutte le macchine che presentano della vulnerabilità, come:

• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012
• Windows Server 2012 R2
• Windows 10
• Windows Server 2016

In poche parole, tutte le edizioni delle piattaforme elencate sono affette dalla vulnerabilità.

Dopo l’attacco, cosa accade?

Oltre a cifrare i dati e bloccare l’hard disk, Not-Petya scarica le credenziali dalla memoria della macchina.
Al momento non è stato trovato un metodo per bloccare il ransomware, ma solo sistemi per limitarlo (a differenza di quello che era accaduto con WannaCry). L’unica soluzione è la prevenzione da un attacco Not-Petya attraverso la Sicurezza Informatica Gestita.

Il malware che effettua la criptazione dei file richiede poi un riscatto (almeno 300 dollari in bitcoin – la moneta virtule) per il loro sblocco.

Ecco il messaggio di Not-Petya che è comparso su migliaia di computer:

“Se vedi questo testo, allora i tuoi file non sono più accessibili, perché sono stati criptati, forse sei indaffarato a cercare un modo per recuperarli, ma non perdere il tuo tempo, nessuno può recuperare i file senza il nostro servizio di de-criptaggio”

Ad oggi hanno pagato il riscatto molti utenti, ma è vivamente sconsigliato farlo perché non si riusciranno mai ad ottenere nuovamente i dati trafugati. L’esperto di Sicurezza Informatica Dmitry Sklyarov conferma che Not-Petya non restituisce i dati criptati per due motivi:

• dopo il pagamento del riscatto viene comunicata una chiave di 32 caratteri non corretta per decriptare i file;
• a poche ore dalla diffusione del malware è stato bloccato l’indirizzo mail al quale inviare la notifica di avvenuto pagamento. Le vittime del ricatto non possono mettersi in contatto con i cyber criminali!

Oltre il danno, anche la beffa: pur pagando non si riesce più a recuperare i dati! Il malware è stato pensato per colpire i punti di debolezza delle strutture informatiche che per guadagnarci.

Esiste una soluzione?

Assolutamente sì. Innanzitutto è fondamentale tenere aggiornato il proprio sistema operativo, ed effettuare sempre i backup. Ma non solo… firewall e antivirus sono ancora sufficienti? Ad oggi non più. Come ci si può proteggere allora da malware avanzati?

Una soluzione a portata di tutti, dal libero professionista alla grande azienda, è il servizio di Sicurezza Informatica Gestita da un Security Operation Center in grado di mettere in sicurezza la rete, i personal computer e gli smartphone da ransomware come Not-Petya, Wannacry e le loro varianti.

Il Security Operation Center è un vero centro di controllo gestito da operatori e analisti, che si collega a appliance di controllo installati presso la rete informatica del cliente in grado di:

• Centralizzare le funzionalità in un solo sistema con monitoraggio H24/365 giorni l’anno
• Controllare completamente la rete e le postazioni (server, PC, smartphone)
• Segnalare eventuali anomalie e dare indicazioni puntuali di come risolverle
• Fornire report dettagliati sugli eventi

Proteggi la tua attività prima che sia troppo tardi: scopri le soluzioni di Sicurezza Informatica Gestita.