Un nuovo ransomware chiamato "Petya" Ha attaccato diversi siti web di grandi aziende. Nei mesi precedenti, il wannaCry attacco Ha causato il caos su più di 300,000 computer in tutto il mondo; si ritiene che Petya sia collegato allo stesso tipo di strumenti di hacking che WannaCry e condivide vettori di propagazione simili.
Petya ha già preso in ostaggio migliaia di computer, con ripercussioni sulle aziende e sulle loro infrastrutture, che vanno da L'Ucraina agli Stati Uniti e all'IndiaCiò ha influenzato aeroporto internazionale ucrainoalle compagnie di navigazione multinazionali, agli studi legali e pubblicitari e ha portato alla cessazione dei sistemi di monitoraggio delle radiazioni negli impianti nucleari in Chernobyl, evidenziando il gran impatto globale di questo ransomware sulle infrastrutture critiche e sui servizi essenziali.
Portata e impatto globali di Petya
Numerose aziende in tutto il mondo sono state colpite da questo attacco ransomware che colpisce i computer con sistemi Windows e che di solito richiede un salvataggio in bitcoins per tentare di riottenere l'accesso. I paesi più colpiti includono Ucraina, Russia, Regno Unito e Indiasebbene siano stati segnalati incidenti anche in Spagna e in varie regioni del Nord America, del Sud America e dell'Asia.
Gli esperti di sicurezza hanno identificato varianti correlate a Petya (chiamato anche Petrwrap), mentre aziende come Kaspersky e altri fornitori hanno identificato una variante chiamata NotPetya, considerato da molti specialisti come uno pseudo-ransomware il cui L'obiettivo principale è quello di causare danni. e non necessariamente per raccogliere fondi.
In ambito aziendale, Petya ha influenzato grandi gruppi pubblicitari, aziende infraestructura, potere, farmaceuticononché uffici governativi e amministrazioni pubbliche. Il vero costo non si limita al salvataggio: include perdita o furto di informazioniprolungata interruzione delle operazioni, danni alla reputazione e costi tecnici e legali. In numerosi incidenti, il sistema di pagamento del riscatto è stato reso inutilizzabile o non è stata fornita alcuna chiave di decrittazione, rafforzando l'ipotesi che in molti casi lo scopo fosse distruggere i dati e generare instabilità.
Risposta delle organizzazioni internazionali e delle forze dell'ordine
Europol Non è stato in grado di fornire dati operativi relativi all'attacco nelle sue fasi iniziali; il suo portavoce Tine hollevoet Ha indicato che stavano cercando di "ottenere un quadro completo dell'attacco" collaborando con il settore industriale e le forze dell'ordine. Petya "dimostra come la criminalità informatica possa evolversi e crescere e, ancora una volta, ci ricorda l'importanza della sicurezza per le aziende". sicurezza informatica", ha dichiarato l'amministratore delegato Europol, Rob Wainwright.
Oltre a Europol, squadre provenienti da Risposta all'incidente Diversi fornitori (come Check Point, Cisco e altri) hanno rilevato varianti di Petya che si stavano diffondendo lateralmente all'interno reti aziendaliNumerosi rapporti concordano sul fatto che l'attacco sia iniziato con particolare violenza in Ucraina, causando ingenti danni alle infrastrutture critiche prima di diffondersi al resto d'Europa e ad altri continenti.
Come funziona Petya e perché è così distruttivo
Petya è particolarmente dannoso perché, a differenza del ransomware che crittografa i file uno per uno, può bloccare l'intera unità discoMolte varianti codificano il Record di avvio principale (MBR) e settori critici del disco e visualizzano un messaggio che simula un “riparazione del file system” mentre in realtà stanno crittografando le apparecchiature.
A differenza di WannaCry, l'attacco di Petya non include un "interruttore di spegnimento"Secondo Europol e le analisi del settore, ciò rende difficile disattivarlo una volta che si è diffuso. In alcuni casi, il malware attende circa un'ora dopo l'infezione prima di riavviare il sistema e visualizzare l'avviso di crittografia, durante la quale può continuare a diffondersi nella rete.
El Gruppo di intervento per le emergenze informatiche degli Stati Uniti (US-CERT) e altri centri di risposta hanno iniziato a ricevere numerose segnalazioni di infezioni e hanno osservato che questa variante sta causando il Registri di Windows e sfrutta le vulnerabilità del servizio di messaggistica SMB. Queste falle consentono di compromettere i sistemi non aggiornati, anche se dotati di protezioni di base.
Il file identificato come RAMSON_PETYA.SMA Comprende diverse varianti e vettori di infezione, alcuni dei quali sono stati utilizzati anche nel wannaCry attaccoLe tecniche di propagazione combinano lo sfruttamento SMBv1 “EternalBlue”strumenti di amministrazione remota come PsExec per il movimento laterale e le campagne di phishing con allegati o link dannosi.
Strategie di prevenzione: cosa fare prima, durante e dopo un attacco
La migliore protezione contro Petya è una strategia preventiva completaGli esperti raccomandano misure in tre fasi: prima dell'attacco, durante l'infezione e dopo l'incidente, combinando controlli tecnici con la gestione del fattore umano.
Prima dell'attacco: mantenere backup regolari e verificato tramite simulazioni di restauro; applicare parches e attualizzazioni di sistemi operativi e applicazioni; disabilitare, ove possibile, protocolli non sicuri come SMBv1; implementare soluzioni di prevenzione delle minacce ed eseguire formazione sulla sicurezza informatica per gli utenti.
Durante l'attacco: disconnettere le apparecchiature colpite dalla rete per contenerne la diffusione, avvisare le autorità e le squadre di intervento, valutare la portata dell'attacco utilizzando le informazioni di intelligence sulle minacce e coordinare la risposta con il supporto di esperti legali e tecnici specializzati.
Dopo il contenimento: eseguire un valutazione approfondita della sicurezza, eliminare le backdoor e gli artefatti persistenti, eseguire un'analisi forense della catena di eventi e rafforzare il interazioni utenteL'implementazione di architetture di sicurezza che privilegiano la prevenzione e la segmentazione della rete può ridurre significativamente l'impatto di futuri incidenti.
Il caso di Petya e delle sue varianti dimostra che il ransomware è passato dall'essere un problema marginale a un Minaccia strategica Per le imprese, i governi e i cittadini. Imparare da questi attacchi e attuare misure proattive è l'unico modo per mitigare l'impatto di future epidemie.