Il virus Petya è già mutato. Ora si chiama Nyetya e fa più paura

Non è più solo Petya la minaccia ransomware globale: il virus che ha messo in crisi il sistema informatico di mezza Ucraina minaccia di diffondersi a macchia d'olio in Europa grazie a una sua variante che Talos, il dipartimento di Intelligence di Cisco, ha chiamato Nyetya. L'analisi iniziale indica che l'attacco è iniziato in Ucraina, indirizzato a varie aziende e agenzie governative. I dati dei ricercatori di Cisco segnalano attacchi importanti in Francia, Danimarca, Spagna, Regno Unito, Russia e Stati Uniti (gli aggiornamenti sono in questo blog post).

La stessa 'pista' di WannaCry

I ricercatori di Talos ritengono che il primo attacco verificatosi in Ucraina abbia avuto origine da sistemi di aggiornamento software di un pacchetto contabile fiscale ucraino chiamato MeDoc. Ma l’aspetto più inquietante è che una volta che questo ransomware è entrato nel sistema, utilizza tre modi per diffondersi automaticamente in una rete, uno dei quali è la nota vulnerabilità Eternal Blue, simile a quanto è avvenuto con l'attacco WannaCry del mese scorso.

Leggia anche: "Vi siete beccati WannaCry? Ve lo meritate"

Inoltre la nuova variante scoperta da Talos crittografa il master boot record (MBR) di un sistema. Per i non smanettoni significa che non è nemmeno possibile accendere il computer e sperare di intervenire in quella manciata di secondi che c'è tra il momento in cui si spinge il pulsante 'on' e quello in cui si avvia il sistema operativo: il virus ha già colpito.

Leggi anche: in 28 anni 7 ransomware micidiali

Quello che emerge da questo attacco è che le aziende di ogni dimensione e settore, pubbliche e private, devono dare priorità alle patch dei sistemi per abbassare il loro profilo di rischio oltre a fare il backup dei dati importanti e adottare qualsiasi misura di sicurezza.

L'Italia seconda sola all'Ucraina

Secondo i ricercatori di Eset, produttore di software per la sicurezza digitale europeo, l'Italia è il secondo Paese più colpito dal virus Petya dopo l'Ucraina, dove si è diffuso inizialmente 'sparato' dalla Russia dove è stato realizzato. Gli specialisti di Eset hanno individuato il punto da cui si è propagata la nuova epidemia causata da Petya: "I cyber criminali hanno compromesso con successo il software di contabilità M.E.Doc utilizzato in molte aziende in Ucraina tra cui istituzioni finanziarie, aeroporti e metropolitane. Molte di queste hanno eseguito un aggiornamento di M.E.Doc compromesso dal malware, che ha permesso ai cyber criminali di lanciare ieri pomeriggio la massiccia campagna di ransomware che si è poi diffusa in tutto il mondo".

Secondo le statistiche di Eset, l’Italia – con il 10% delle rilevazioni - è il secondo Paese attualmente più colpito dall’infezione, preceduto solo dall’Ucraina (78%). Segue Israele con il 5%, Serbia con il 2% poi Romania, Stati Uniti, Lituania e Ungheria con l’1% delle rilevazioni.

Un po' di roba per smanettoni

Individuato dai ricercatori di Eset con il nome di Win32/Diskcoder.C Trojan, questo ransomware è in grado di bloccare l’intero sistema operativo Windows criptando la tabella MFT del filesystem NTFS e chiedendo un riscatto di 300 dollari in Bitcoin.

Scrive Eset in una nota: "Petya utilizza per la diffusione una combinazione dell’exploit SMB (EternalBlue) utilizzato da WannaCry per ottenere l’accesso ad una rete, per poi diffondersi all’interno di questa attraverso PsExec. Probabilmente questa combinazione pericolosa è la ragione della diffusione globale e rapida di Petya, anche dopo che il recente caso di Wannacry ha portato alla correzione della maggior parte delle vulnerabilità. I computer non aggiornati sono però ancora attaccabili e ne basta uno perché Petya entri all'interno della rete e ne contagi altri".

Leggi qui: Cosa sappiamo di Petya il nuovo supervirus

Per ulteriori informazioni su Petya è possibile visitare il blog di ESET Welivesecurity al seguente link oppure collegarsi al blog di ESET Italia