Go to Top

Cosa sapere su Petya, uno dei ransomware più temibili al mondo

Petya

Petya è, attualmente, considerato uno dei ransomware più temibili e insidiosi al mondo, tanto da aver colpito ben 65 Paesi. Secondo gli ultimi aggiornamenti, potrebbe nascondersi dove nessuno sospetterebbe della sua esistenza: un software di contabilità fiscale realizzato da un’azienda ucraina.

Parlando di questo pericoloso ransomware, Microsoft spiega di aver “visto le prime infezioni in Ucraina e più di 12.500 macchine sono state coinvolte. Abbiamo poi osservato infezioni in altri 64 Paesi, tra cui Belgio, Brasile, Germania, Russia e Stati Uniti”. Gli attacchi sono stati così virulenti da aver posto il dubbio che fossero perpetrati addirittura da una nuova e più sofisticata versione di Petya. Questa è, quantomeno, l’opinione di Microsoft che parla di “una nuova variante” del malware – temibile quanto e più della precedente, tanto da aver già spinto a correre ai ripari diverse società specializzate in antivirus.

Tornando all’origine di Petya, come accennato il ransomware potrebbe essere ricondotto a un software di contabilità fiscale (e successivi aggiornamenti) rilasciato da una società ucraina di nome MEDoc. 
Al momento attuale non esisterebbero prove a conferma di questa ipotesi. Quello che invece è certo è che Petya continua ad agire indisturbato, in Ucraina soprattutto, colpendo colossi di Maersk e Merck, ma anche all’estero. Due vittime degne di nota sono finora state gli ospedali Valley Heritage e Valley Health System, entrambi localizzati in Pennsylvania, negli USA.

Per certi versi, il ransomware Petya è simile al famigerato WannaCry, con la differenza che sembra che la sua infezione si stia diffondendo più lentamente. Tuttavia, esattamente come WannaCry, questo nuovo malware richiede un pagamento in bitcoin pari a 300 dollari per “restituire” i dati rubati. Finora sono state numerose le aziende che hanno ceduto al ricatto e si stima che siano stati pagati oltre 10,000 dollari.

Un colpo di coda è però arrivato da Posteo, azienda tedesca che gestiva la posta elettronica su cui si appoggiavano gli hacker di Petya, che ha bloccato il loro account e dunque ha di fatto messo uno stop al pagamento dei riscatti.
La tattica non è piaciuta a tutti. Se da una parte alcuni esperti hanno ritenuto che Posteo abbia fatto la cosa giusta, dall’altra alcuni utenti hanno fatto notare che l’interruzione del servizio mail eliminava di fatto l’unico punto di contatto tra le aziende colpite e gli hacker.

La speranza, ora, è che gli effetti devastanti di Petya possano essere fermati così come avvenuto per WannaCry. Parliamo della scoperta di un kill switch. Al momento attuale, infatti, non esistono soluzioni definitive al problema. Gli esperti dovranno innanzitutto comprendere se e quale versione di Petya sia quella che sta attaccando ora. Alcuni definiscono il malware NonPetya, per distinguerlo dalla prima versione, altri lo chiamano PetrWrap oppure Goldeneye, altri ancora, semplicemente, una “evoluzione di Petya”. La sostanza, però, non cambia.

Come capire se si è stati colpiti da Petya o da una sua evoluzione?

Essenzialmente, il malware utilizza un riavvio per crittografare i file a seguito di un ritardo auto-imposto di almeno 10 minuti. Ad aggressione in corso, gli utenti visualizzeranno un falso messaggio “CHKDSK” sullo schermo, in base al quale presumeranno che il computer stia effettuando un controllo di integrità del disco rigido. È proprio questo, secondo gli esperti, l’ultimo momento utile per disattivare i propri computer in modo da evitare che i file al loro interno vengano crittografati dagli hacker.

In conclusione, Petya è estremamente pericoloso e sta ancora colpendo a macchia d’olio. In attesa di una soluzione definitiva, si può soltanto cercare di sapere in dettaglio come opera.

 

Copyright immagine di copertina: xuseru/pixabay.com/ CC0 Public Domain License 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *