Una variante del ransomware Petya sta attaccando i computer in tutto il mondo

Una variante del ransomware Petya sta attaccando i computer in tutto il mondo

petya-ransomware-outbreak-banner

Sulla cresta dell’onda dell’ attacco Wannacry del mese scorso, un altro ransomware sta prendendo il sopravvento diffondendosi in Europa e negli altri continenti. Il colpevole? Una nuova variante della famiglia ransomware Petya, anche conosciuto come Petna nel campo della sicurezza IT. Per rimanere coerenti, utilizzeremo in questo articolo sempre il nome Petya.

Scoperto questa mattina, il ransomware ha colpito l’Ucraina, mettendo in ginocchio alcune istituzioni governative, l’aereoporto di Kiev, il sistema della metro, la società energetica Ukrenergo, la banca centrale e persino l’inattivo centro nucleare di Chernobyl.

Sono state confermate altre infezioni da parte di compagnie Europee, includendo l’inglese agenzia WPP, la compagnia di costruzioni francese Saint-Gobain, la compagnia petrolifera russa Rosneft ed il gigante dei trasporti danese AP Moller-Maersk. Fino ad ora, l’infezione del ransomware ha colpito 14 stati tra cui gli Stati Uniti, Messico, Iran e Brasile, tuttavia ci aspettiamo che il numero degli stati possa crescere.

Una delle cose più sorprendenti è il fatto che questa versione Petya utilizza lo stesso exploit della NSA che ha permesso a WannaCry di infettare più di 200.000 computer nel Maggio di questo anno. Nonostante le correzioni di sicurezza ed i consigli, è chiaro che molte società non seguano quanto detto dagli esperti di sicurezza.

Questo attacco sarà peggio di Wannacry? Cosa possiamo fare per mettere al sicuro i computer e le reti aziendali?

Scopriamo il ransomware Petya

L’ultima variante Petya sembra essere molto simile alla famiglia classica Petya. La prima scoperta di Petya risale alla fine di Marzo 2016. Quello che rende Petya unico è l’implementazione di un piccolo sistema operativo che viene avviato al posto di Windows, in questo modo può bloccare alcuni file critici del sistema durante l’avvio del computer. La nuova variante di Petya ha copiato questo metodo e anche il sistema operativo integrato, ma aggiunge differenti metodologie di diffusione, criptazione ed infezione del sistema.

Dopo aver infettato con successo il sistema, Petya mostra una pagina di riscatto, disponibile solo in Inglese, ti chiederà un pagamento di 300$ in bitcoin da trasferire su un portafoglio collegato con un indirizzo posteo.net:

petya-ransom-note

La schermata di Petya viene mostrata una volta che i dati sono stati criptate.

Mentre stiamo scrivendo questo articolo, sono già stati pagati 3.1 bitcoin con più di 28 transazioni, fruttando agli autori circa 7.300$. Anche se questo ammontare è abbastanza basso, è ancora presto per calcolarlo, ma ci mostra quanto è rapido il processo di infezione e potremmo vedere come il quantitativo di vittime aumenterà per riavere i propri file.

Come si viene infettati dal ransomware Petya?

L’infezione iniziale di Petya può essere ricollegata al produttore del programma gestionale Ucraino MeDoc. Attaccanti sconosciuti sono riusciti ad ottenere l’accesso ai server degli aggiornamenti ed hanno rilasciato il ransomware Petya come aggiornamento del programma per tutti i clienti. Metodi simili sono stati utilizzati da famiglie ransomware come XData per iniziare la propria campagna.

Una volta che un certo quantitativo di sistemi viene infettato, Petya è in grado di diffondersi rapidamente tramite l’exploit della NSA che è stato trafugato dal gruppo Shadow Brokers e utilizzato anche da WannaCry. L’exploit, conosciuto come ETERNALBLUE, è una vulnerabilità del protocollo Microsoft SMBv1 protocol, consente ad un attaccante di prendere il controllo su un sistema che:

  • abbia il protocollo SMBv1 abilitato
  • sia accessibile da internet
  • non abbia installato l’aggiornamento MS17-010 rilasciato nel Marzo 2017

Se l’exploit ETERNALBLUE può essere sfruttato con successo, installerà una backdoor sul sistema con nome in codice DOUBLEPULSAR. DOUBLEPULSAR è utilizzato dal malware per diffondersi su altri sistemi ed auto-eseguirsi.

In aggiunta, Petya utilizza anche alcune impostazioni amministrative integrate a Windows per diffondersi tra la rete. Questo significa che un computer non protetto, può compromettere tutta la rete, anche se gli altri computer lo sono. Petya utilizza il Windows Management Instrumentation (WMI) e lo strumento famoso PsExec in combinazione con il network condiviso al fine di facilitare la sua diffusione nella rete locale.

Come funziona il ransomware Petya e come cripta i miei file?

Petya è formato da due moduli differenti. Il primo modulo è molto simile alle classiche famiglie ransomware. Cripta il primo MB di ogni file con la seguente estensione:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Per criptare i file, utilizza un algoritmo AES con una chiave a 128 bit. Questa chiave viene criptata utilizzando una chiave pubblica RSA unita all’eseguibile del ransomware. Altri dettagli su come un ransomware utilizza chiavi RSA o AES per proteggere le sue metodologie, possono essere trovati nel nostro articolo inerente ai metodi di crittografia.

Il secondo modulo viene direttamente dalla famiglia ransomware Petya. Consiste in un piccolo sistema operativo che si installa nel Master Boot Record (MBR), abilitandolo all’avvio e consentendo al ransomware di ottenere determinati privilegi. Una volta che il sistema operativo Petya si avvia, localizzerà e inizierà a criptare il Master File Table del disco di avvio utilizzando lo stream Salsa20.

Il Master File Table è una struttura interna del sistema Windows NTFS. Tiene traccia essenzialmente di dove sono posizionati i file nel disco. In aggiunta, il sistema operativo del ransomware Petya cripterà la prima parte di ogni file, impedendo ad ogni strumento di ripristino la sua esecuzione corretta. Senza il Master File Table, Windows non può ritrovare le informazioni sul disco, essenzialmente tagliando fuori completamente l’utente dal sistema.

Come posso proteggermi dal ransomware Petya?

Il nostro consiglio dato durante l’attacco WannaCry rimane valido anche nel caso Petya: come misura immediata, assicurati di avere gli ultimi aggiornamenti di sicurezza installati sui tuoi computer e server Windows. A seguito della scoperta della falla di sicurezza, Microsoft ha rilasciato una serie di aggiornamenti straordinari per i “sistemi non più supportati” come Windows XP e Windows 2003, perciò anche su questi ultimi sistemi si potranno correggere le vulnerabilità.

Come spiegato nel nostro articolo sui ransomware, la miglior protezione rimane una strategia di backup affidabile, specialmente perchè la metodologia di crittografia utilizzata da Petya ransomware è sicura e non può essere decriptato. L’unico modo per riottenere i propri file è quello di essere aiutati dall’autore del ransomware o attraverso il ripristino da un backup precedente. Assicurarsi anche di installare gli aggiornamenti critici di Windows, in quanto l’attacco Petya utilizza la falla di sicurezza ETERNALBLUE SMBv1, la quale è già stata risolta da qualche mese.

Oltre ai backup ordinari, potresti essere anche contento di sapere che il modulo Anti-Ransomware di Emsisoft, parte della tecnologia del comportamento utilizzata da Emsisoft Anti-Malware ed Emsisoft Internet Security, si è dimostrato la miglior protezione contro i tentativi dei ransomware, anche attraverso l’utilizzo della backdoor DOUBLEPULSAR. Questa protezione ti protegge ancor prima che qualsiasi famiglia di ransomware possa prendere in ostaggio anche solo un singolo file.

Gli utenti Emsisoft Anti-Malware ed Emsisoft Internet Security sono protetti dal ransomware Petya.

Consideriamo i ransomware la più grande minaccia in circolazione e continueremo ad offrire ad i nostri clienti le protezioni più avanzate ed all’avanguardia contro questi malware.

CTA_ransomware_EAM_Download_DE