All’indomani di WannaCry, numerosi esperti avevano segnalato il rischio che questo attacco potesse essere solo una sorta di prova generale di un’offensiva ancora più intensa da parte degli hacker.
Una previsione purtroppo corretta, come conferma l’attacco scatenato oggi che, dopo aver colpito Russia e Ucraina, si sta rapidamente diffondendo in tutto il mondo.Petya, questo il nome del ramsonware che, dopo aver criptato i dati chiede il pagamento di un riscatto in Bitcoin, sembra decisamente più aggressivo dei WannaCry.
Quest’ultimo, infatti, aveva colpito in modo massiccio soprattutto gli enti pubblici, accusati di ritardi nell’aggiornamento dei propri sistemi operativi, questa volta sembra che ci siano vittime anche a livello industriale. Tra le prime ad ammettere le violazioni, la compagnia petrolifera russa Rosneft, la compagnia navale danese Maersk, il gruppo pubblicitario WPP, la società francese Saint-Gobain e la tedesca Metro, terzo gruppo mondiale della grande distribuzione.
Trovata la vulnerabilità sfruttata
Su questo nuovo attacco abbiamo raggiunto telefonicamente Sergio Fracasso, fondatore e titolare di SafeClick, che ha sviluppato una soluzione in grado di fornire la chiave di decriptazione dei documenti colpiti dai ransomware.
Proprio Fracasso, che nel sito unlock4u, illustra la propria soluzione per contrastare chi cripta i file degli utenti e richiede un riscatto, è al lavoro per creare una chiave in gradi decriptare i file senza pagare il riscatto. Dalle sue analisi emerge che il nuovo ramsonware è in grado di sfruttare una vulnerabilità presente nel protocollo smb.
Come proteggersi
Ancora una volta lo stesso Fracasso ricorda la necessità di operare preventivamente a fronte di questi attacchi. Anche perché, nell’immediato, l’unica difesa consiste nel prestare la “massima attenzione al vettore mail” e, seppur come rimedio tampone “è opportuno eseguire quanto prima un backup offline”.
Ma Fracasso non perde occasione per ribadire l’importanza di adottare sistematiche strategie di protezione, che “andrebbero invece svolte attività di vulnerability assessment e protezione da minacce 0-day. Per questo motivo stiamo cercando di lanciare una “campagna di sensibilizzazione ” con strumenti ad-hoc che possano portare dei risultati al cliente”.
L’Italia si è salvata?
Notizie apparentemente positive, sino al tardo pomeriggio di martedì 27, per l’Italia. A fornirle è Gastone Nencini, Country Manager Trend Micro Italia: “Al momento non abbiamo rilevato casi di infezione in Italia, anche se abbiamo ovviamente rilasciato tutte le procedure per reagire a questo attacco. Il ransomware Petya utilizza la stessa vulnerabilità di WannaCry. I nostri laboratori hanno testato un attacco ed è importante sottolineare come le nostre soluzioni siano in grado di bloccare questo ransomware grazie alle loro capacità di machine learning. Questo anche in caso i sistemi non siano stati patchati dopo WannaCry. Le aziende che utilizzano la nostra tecnologia XGen sono al sicuro. Siamo pronti per rispondere al meglio a questo attacco”.
