Petya strikes back

Petya torna a colpire

Questa volta non si tratta solo di EternalBlue. Petya è tornato e ora non colpisce soltanto i software non aggiornati. L’elenco delle celebri vittime include già il gigante dei trasporti marittimi Maersk, i sistemi di rilevazione delle radiazioni di Chernobyl e molti altri. Questa specifica ondata di ransomware sembra aver preso di mira l’Ucraina, ma le nuove tattiche di infezione sono un chiaro messaggio a tutti gli utenti del mondo digitale che avverte che non basta aggiornare i propri dispositivi per difendersi dalle minacce odierne.

Non corri alcun rischio

Petya è già stato rilevato e bloccato da Avira. Il 27 giugno l’Avira Protection Lab ha identificato tre varianti del ransomware.

“Abbiamo rilevato tutti i campioni senza dover aggiornare NightVision, il nostro componente di machine learning”, afferma Matthias Ollig, Direttore Tecnico di Avira.

Due modi per arrivare al tuo computer

Petya colpisce i computer attraverso due vie principali.

In primo luogo, Petya si propaga sfruttando le vulnerabilità di EternalBlue diventate famose con il ransomwareWannaCry. Questo tipo di attacco rappresenta un rischio principalmente per i computer su cui non è installata la patch per questa vulnerabilità. L’exploit EternalBlue funziona sia per le connessioni Internet che per quelle LAN.

In secondo luogo, il trojan raccoglie le credenziali di login di Windows salvate a livello locale, facendone poi un uso improprio attraverso lo strumento PSEXEC. Si tratta di uno strumento legale che solitamente viene utilizzato dagli amministratori di sistema per eseguire altri strumenti su computer remoti a cui hanno regolare accesso. Questo metodo funziona anche se il sistema è provvisto di tutte le patch, poiché PSEXEC non è un exploit, bensì uno strumento regolare di Microsoft e SysInternals.

“Dopo aver completamente decrittografato il trojan, abbiamo scoperto che non utilizzava soltanto EternalBlue ma che conteneva anche la backdoor DoublePulsar di NSA. Siamo stupiti del fatto che anche dopo l’attacco di WannaCry ci siano ancora così tanti dispositivi connessi a Internet sprovvisti degli ultimi aggiornamenti di sicurezza di Windows, specialmente in ambienti critici”,  afferma Matthias Ollig, Direttore Tecnico di Avira.

10 minuti per il ransomware

L’exploit esegue il campione di malware tramite RUNDLL32.EXE, dal momento che si tratta di una DLL. Il trojan scrive il dannoso codice MBR e imposta un’attività programmata che impone il riavvio del dispositivo infetto dopo 10 minuti. Successivamente viene visualizzata una falsa schermata di riparazione del sistema, come da immagine in basso.

Petya strikes back - in-post

Alla fine dell’operazione viene visualizzato uno schermo di blocco con un testo in rosso.

Petya strikes back - in-post

Connessioni sconosciute

I rilevamenti di Petya hanno un linguaggio chiaro e una chiara concentrazione in riferimento al sistema operativo. Nei rilevamenti effettuati nel cloud di Avira*, abbiamo constatato la seguente distribuzione tra le impostazioni locali della lingua di Windows:

  • ru            1512
  • uk           918
  • pt            13
  • en           7
  • de           2
  • fr             1

La maggior parte degli utenti è stata identificata con impostazioni in lingua lingua russa o ucraina, trovandosi presumibilmente in questi luoghi. Tuttavia, dato che non è stata effettuata una localizzazione geografica, potrebbe trattarsi di utenti che si trovano in Ucraina, ma che hanno impostato il russo come lingua del dispositivo. Petya ha colpito principalmente i computer con sistemi operativi Windows vetusti, come Windows 7 e 8.

  • Win7 SP1                             2139
  • Win7 SPO                            181
  • Win 8.1                                 119
  • Win Server 2003               14
  • Win 8.2                                 2

La miglior difesa contro Petya

La migliore strategia è quella di installare tutti gli aggiornamenti. Poiché Petya utilizza un exploit di rete, l’utente finale non deve aprire nessun allegato e nemmeno fare clic su un link: il computer viene infettato senza alcuna interazione dell’utente.

Effettuare gli aggiornamenti e applicare le patch ai software non è solo una comodità. È un elemento essenziale di sicurezza online, dal momento che un computer medio contiene una vasta gamma di applicazioni che richiedono centinaia di aggiornamenti e patch ogni anno. Mentre alcuni aggiornamenti vengono eseguiti automaticamente, altri richiedono che gli utenti cerchino e scarichino direttamente gli aggiornamenti necessari. Tuttavia, molti utenti trovano particolarmente fastidiose le finestre pop-up e non sanno bene quale procedura di aggiornamento eseguire. Finiscono così per non eseguire gli aggiornamenti regolarmente, esponendo se stessi e i propri computer a numerosi rischi. In considerazione di questa notevole vulnerabilità, Avira offre una versione gratuita di Software Updater per migliorare la sicurezza degli utenti e la relativa versione premium Software Updater Pro per eseguire l’intera procedura di aggiornamento in modo automatico.

L’autorità indipendente nel campo del testing AV-Comparatives ha recentemente insignito il nostro Avira Antivirus Pro del prestigioso titolo di “prodotto dell’anno”. Antivirus Pro ha ottenuto il punteggio Advanced+ in tutti i sette test specifici svolti nel 2016, lasciandosi alle spalle gli altri prodotti. Questo riconoscimento dimostra che Avira Antivirus Pro fornisce la migliore protezione possibile contro le minacce online, come siti dannosi, ransomware, trojan, spyware e altri tipi di malware.

* Tutte le statistiche relative ai rilevamenti risalgono al 27/06/2017

Questo articolo è disponibile anche in: IngleseTedescoFrancese

Il principio su cui si basa Avira è quello di costruire le migliori tecnologie di sicurezza al mondo cosicché i clienti possano utilizzare Internet senza paura. Nel perseguimento di questa missione, Avira offre oggi una serie completa di applicazioni di sicurezza completamente gratuite per Windows, Mac, iOS e Android.