Home > Informatica > Petya redivivo – di nuovo

Petya redivivo – di nuovo

articolo pubblicato da: SABMCS | segnala un abuso

Petya redivivo – di nuovo

 Di Petya G DATA ha già parlato nel 2016. Il ransomware si ripresenta occasionalmente con nuove vesti, l’ultima volta come "GoldenEye". Questa nuova ondata di infezioni presenta una sola differenza: è la prima volta che Petya sfrutta un exploit proveniente dall'arsenale di un'agenzia di intelligence, portato tristemente alla ribalta con WannaCry.

 
Bochum - Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall’attacco e dai media, l’ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l’aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell’infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.
 
Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l’unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l’attuale campagna. G DATA sconsiglia fortemente di pagare qualsiasi riscatto! Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati.  Tra l’altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l’attacco su larga scala, il provider tedesco ha bloccato l’accesso alla casella e ha informato l’Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.
 
Dettagli tecnici
 
Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l'origine dell'ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun “killswitch”.
 
All’attuale stato delle cose, la componente che dà luogo alla diffusione dell’ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.
 
Il ransomware prende di mira file con le seguenti estensioni:
 
.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk 
.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls. xlsx .xvd .zip
 
Un’infinità di nomi per il Petya redivivo
 
G DATA ha riscontrato una generalizzata confusione nell’assegnare un nome all’attuale variante del ransomware "Petya". La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome "Petya". Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.
 
Clienti G DATA protetti
 
La variante corrente è rilevata da tutte le soluzioni G DATA come Win32.Trojan-Ransom.Petya.V e Trojan.Ransom.GoldenEye.B. Altri moduli proattivi quali l’ExploitProtection e la protezione comportamentale AntiRansomware offrono un ulteriore livello di protezione.
 
Countromisure e mitigazione
 
Ci sono diverse misure efficaci per prevenire infezioni o quanto meno mitigare i rischi:
- Installare l’ultimo aggiornamento di Windows se possibile. Questo aggiornamento (disponibile dal mese di marzo - come già indicato nel caso di WannaCry) chiude le falle di cui si avvale l’exploit Eternalblue.
- Per prevenire infezioni attraverso l’interfaccia di gestione di Windows (WMI), gli amministratori di sistema dovrebbero prendere alcune precauzioni, come raccomandato da Microsoft
- L’esecuzione di un codice da remoto attraveso PSExec o WMI richiede privilegi di amministratore: si sconsiglia di garantire tali privilegi ai normali utenti.
- Se si nota un’infezione prima che appaia la richiesta di riscatto, spegnere immediatamente il sistema. Non riavviare la macchina in nessun caso – c’è la possibilità che non tutto sia stato cifrato prima dello spegnimento forzato.
Di nuovo: raccomandiamo di non effettuare alcun pagamento di riscatto, soprattutto visto che il provider ha chiuso la casella di posta elettronica dei criminali.
Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://www.gdatasoftware.com/blog/2017/06/29840-petya-is-back-again
 
Informazioni su G DATA
 
La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum sviluppò oltre 30 anni fa il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.
Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile. Nel marzo 2017 la soluzione ha ottenuto per il decimo anno consecutivo un’eccellente valutazione per la rilevazione dei virus da Stiftung Warentest.
Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati
Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese.
Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.
Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it

G DATA | Petya | AntiRansomware | community infosec | Eternalblue | EternalPetya | Expetr | ExploitProtection | G DATA Security Lab | Golden Eye | NotPetya | Nyetya | Petna | Petrwrap | PetyaBlue | PetyaWrap | Ransom | ransomware | riscatto | software | SortaPetya | troj |



Commenta l'articolo

 

Potrebbe anche interessarti

Tempo fattore non più sottovalutabile: questa la lezione impartita da WannaCry e Petya.B


Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya


LAVARONE BIKE TUTTA PER CATTANEO E BRESCIANI. SOLE E TANTA MOUNTAIN BIKE SUGLI ALTIPIANI


TRENTINO MTB PRESENTED BY CRANKBROTHERS, PRIMA VINCENTE DI PALLHUBER E ZOCCA


IN VAL DI SOLE SI ATTENDE IL GOTHA DELLA MOUNTAIN BIKE. AD AGOSTO LE FINALISSIME DI COPPA DEL MONDO


Alan Martinelli ed Elisa Brocard vincono la Marciagranparadiso Rossignol Race a Skating in una giornata da cartolina


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

La nuova libertà nelle conversazioni telefoniche: l’headset DECT A150 ultraleggero di Snom

La nuova libertà nelle conversazioni telefoniche: l’headset DECT A150 ultraleggero di Snom
 Con il suo A150, Snom, produttore internazionale di terminali VoIP premium per aziende e professionisti presenta un headset ultraleggero senza fili, che si avvale del protocollo DECT per massimizzarne la portata. L’eccellente qualità audio e la comodità d’uso una volta indossato caratterizzano l’elegante dispositivo sovrauricolare dotato di numerose funzionali (continua)

Un binomio inseparabile: la trasmissione di dati e voce in ambito professionale

Un binomio inseparabile:  la trasmissione di dati e voce in ambito professionale
 Sebbene oggi la maggior parte degli utenti di telefoni professionali sa che la propria voce viene trasportata „over IP“, solo a pochi è chiaro cosa ciò comporti esattamente e cosa sia necessario per renderlo possibile.   Mentre l’utenza privata si avvale ancora di piattaforme Internet pubbliche per chiamare a poco costo o gratuitamente amici e parenti, (continua)

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717
 Snom, pioniere e produttore tedesco leader di telefoni IP per l’uso professionale annuncia la disponibilità del suo nuovo D717, il modello “entry level” della serie premium di terminali IP da scrivania D7xx. A dispetto della qualifica di modello di base, lo Snom D717 é paperless, poichè dotato di tasti funzione digitali e di un display a colori, risulta (continua)

Tre scenari d’impiego delle moderne soluzioni per teleconferenze

Tre scenari d’impiego delle moderne soluzioni per teleconferenze
 Snom, produttore internazionale di telefoni IP premium per aziende e professionisti illustra come soluzioni per teleconferenze non invasive nè impattanti sul budget IT consentano di incrementare la produttività di qualsiasi organizzazione, dalle start-up alle PMI, fino alle grandi aziende, grazie alla loro fruibilità nei più diversi scenari d’uso.   S (continua)

Infrastruttura IT ombra: una vera sfida per il reparto IT

Infrastruttura IT ombra: una vera sfida per il reparto IT
 Nelle aziende, i responsabili dell’infrastruttura IT sono solitamente in prima linea quando si tratta di misurare l'impatto di eventuali variazioni del modo di operare dei dipendenti. Nonostante l’assiduo monitoraggio, negli ultimi anni sono emerse nuove pratiche non sicure tra cui la "Shadow IT", ovvero l'uso di applicazioni e servizi, spesso basati su cloud, parallela (continua)