A poca distanza dall’attacco WannaCry, martedì 27 giugno si torna a parlare di un nuovo cyber attacco.
È stata segnalata una minaccia che sembrerebbe essere una nuova variante del malware Petya. Secondo Kaspersky, invece, potrebbe trattarsi di un ransomware mai visto prima. Di fatto gli analisti lo identificano come “NotPetya”. Una delle particolarità di questo malware consiste nel fatto che l’estensione dei file non viene modificata, ma semplicemente cifrata.
Attualmente la diffusione dell’infezione “Petya/NotPetya” interessa principalmente Europa e Stati Uniti, il Paese più colpito sembrerebbe essere l’Ucraina da dove pare sia iniziata, al secondo posto l’Italia.
Questo tipo di malware è utilizzato per estorcere denaro alle sue vittime, come nel recente caso di WannaCry. I computer infetti visualizzano un messaggio all’interno di una schermata, in cui si chiede il pagamento di un riscatto in Bitcoin del valore di $ 300, obbligando la vittima a dare conferma dell’avvenuto pagamento tramite email. L’indirizzo email in questione, di dominio posteo.net, è stato bloccato dallo stesso provider di posta elettronica.
L’infezione sembrerebbe aver sfruttato come vettore iniziale il meccanismo di aggiornamenti automatici di un software gestionale “MeDoc”, diffuso in aziende di grandi dimensioni. Gli attaccanti avrebbero fatto in modo che venisse scaricato il ransomware al posto degli aggiornamenti. Per la diffusione del malware nella stessa rete di un pc infettato, sono stati rilevati diversi vettori: un hacking tool come Mimikatz per estrarre le credenziali poi passate a PsEXEC o WMI, una versione modificata dell’exploit EternalBlue (usato in WannaCry), e il tool di exploit EternalRomance.
Secondo i dati in possesso nei laboratori di Kaspersky, sono circa duemila gli utenti infettati finora, numero sicuramente destinato a crescere nei prossimi giorni. Microsoft fa sapere che sono stati rilasciati gli aggiornamenti di protezione e consiglia ai clienti che non hanno ancora installato l’aggiornamento della protezione MS17-010 di farlo il più presto possibile.
Secondo le recenti analisi effettuate, però, non si tratterebbe di un ransomware bensì di un wiper camuffato da ransomware, cioè una cyberweapon utilizzata per distruggere i dati sul disco. Attraverso l’analisi della routine utilizzata dal malware per la crittografia, infatti, si è potuto constatare che gli attaccanti non siano in grado di decrittare il disco infetto, nonostante il pagamento del riscatto sia andato a buon fine.

 

Maggiori informazioni su: https://securelist.com/schroedingers-petya/78870/

e: https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/