Il nuovo ransomware Petya ha fatto il suo terribile debutto

Già comparso all’inizio degli anni 90 e con una breve apparizione all’inizio del 2016, la variante del ransomware Petya (chiamato anche Petwrap) è tornata di nuovo all’attacco, con il nome di Petya A o NonPetya.

Per quello che si sa circa il recente attacco che ha colpito aziende, enti sanitari e organizzazioni governative ma anche gli aeroporti in USA, Russia, Ucraina, Germania, Francia, Italia, Polonia e Gran Bretagna la nuova e più potente versione si è ispirata all’attacco del ransomware WannaCry dello scorso maggio. Con questo particolare ransomware i cyber criminali non effettuano la crittografia di tutti i file sul computer ma effettuano un attacco mirato ad una parte del sistema operativo chiamato Master File Table (MFT) che poi sovrascrive l’MBR (Master Boot Record). Proprio come per l’attacco di WannaCry il virus richiede alla vittima di pagare un riscatto digitale in Bitcoin per ottenere nuovamente il controllo del sistema.

L’impatto di Petya

L’MTF è un elemento fondamentale per il sistema al fine di sapere dove si trovano i file sul computer.

Attaccando l’MTF è come se ogni singolo file venisse bloccato singolarmente.

Perchè questa modalità di attacco è così rilevante? Perchè è molto più veloce attaccare l’MFT rispetto a  crittografare ogni file singolarmente – rendendolo un attacco rapido e senza soluzione di continuità. Come sostenuto dai ricercatori della nota azienda di sicurezza informatica, Symantec, il nuovo attacco utilizza lo stesso tool di hacking (Eternal Blue) che era stato inizialmente creato dal National Security Agency (NSA) per contrastare il ransomware WannaCry. Il tool era fuoriuscito lo scorso aprile ad opera di un gruppo noto con il nome di Shadow Brokers.

Secondo i ricercatori di Armor, gli attacchi Petya sono progettati per essere ancora più dannosi di WannaCry. Non c’è un vero e proprio modo di bloccare il virus che ha dato prova di essere particolarmente ostico. Poichè questa versione di Petya ha funzioni significativamente più aggiornate ci si aspetta che sia in grado di infettare anche la più recente versione  dei PC Windows, anche quelli su cui sono state applicate le patch di sicurezza, inclusa la versione di Windows 10 mentre il mirino di WannaCry era puntato verso sistemi più datati.

In caso di attacco Ransomware...

Anche attuando le migliori precauzioni e policy di sicurezza è possibile cadere vittima di un attacco ransomware. Nel caso in cui i tuoi dati vengano tenuti in ostaggio da un ransomware tieni a mente questi consigli:

1. Rimani calmo. Decisioni avventate potrebbero provocare un’ulteriore perdita dati. Ad esempio se scopri un attacco ransomware e togli improvvisamente la corrente al server invece di spegnerlo in modo corretto potresti perdere ulteriori dati oltre a quelli già infettati
2. Verifica il tuo più recente set di backup. Se sono intatti e aggiornati è più semplice effettuare il restore dei dati su un altro sistema
3. Non pagare il riscatto poichè i cyber criminali potrebbero non sbloccare i tuoi dati. Lo abbiamo già sottolineato, ci sono molti casi in cui le vittime di attacchi ransomware che pagano il riscatto richiesto non possono poi di fatto accedere nuovamente ai loro dati. Piuttosto che correre questo rischio le aziende dovrebbero lavorare congiuntamente con degli esperti di recupero dati  che potrebbero essere in grado di ottenere nuovamente accesso alle informazioni attraverso il reverse engineering del malware.
4. Contatta uno specialista per consigli e per esplorare le possibili opzioni di recupero. Possiamo esaminare il tuo caso per verificare se disponiamo già di una soluzione pronta o se è possibile svilupparne una ad hoc in tempi rapidi.

Finora gli ingegneri di Ontrack hanno identificato oltre 225 varianti di ransomware che hanno nel tempo infettato i dispositivi degli utenti, tuttavia molte altre vengono create ogni giorno e alcune non sono state nemmeno ancora riportate. Il team di ingegneri di Ontrack lavora incessantemente per identificare e trovare una soluzione di recupero ad ogni tipo di ransomware.

In caso di attacco, contatta i nostri specialisti per maggiori informazioni al Numero Verde 800 44 00 33.