Dopo WannaCry arriva Petya, grandi aziende ancora sotto attacco
Nuovo attacco ransomware in tutta Europa. Colpite aziende delll'Ucraina, della Russia e della Spagna e forse anche dell'Italia. Ecco come difendersi
Il mondo trema ancora. Dopo WannaCry, il terribile ransomware che in pochissimi giorni ha colpito più di 300 mila computer, in queste ultime ore i sistemi informatici di molte aziende sono di nuovo sotto attacco. Il nuovo virus, Petya, è partito dall’Ucraina e si è diffuso rapidamente in altri Paesi.
Dalle prime analisi fatte dagli esperti del settore, Petya è un ransomware, ovvero un virus che blocca l’accesso ai dati del computer e per tornarne in possesso l’utente deve pagare un riscatto. Nel caso di Petya, gli hacker hanno richiesto agli utenti 300 dollari (poco più di 250 euro) da pagare in bitcoin. Per il momento tra i paesi più colpiti c’è l’Ucraina, con i sistemi informatici del governo, della Banca Centrale, degli aeroporti e della metropolitana di Kiev completamente bloccati.
Dalle informazioni che arrivano dal paese dell’est Europa, anche la centrale di Chernobyl sarebbe stata colpita dal ransomware Petya, ma al momento non si segnalano problemi o malfunzionamenti. E in Italia? Le informazioni sono contrastanti: alcune aziende di sicurezza informatica segnalano che nessuna dispositivo del Bel Paese è stata colpito dal nuovo malware, mentre altre società avvertono che alcune imprese italiane potrebbero essere tra le prime vittime di Petya.
Come attacca Petya
Il modus operandi di Petya è quello tipico di un attacco ransomware: cripta i dati contenuti nelle macchine colpite e chiede in cambio un riscatto. Secondo quanto riportano gli utenti infettati, gli hacker – che ancora rimangono senza nome – pretendono il pagamento di 300 dollari in bitcoin per ogni macchina colpita. Il virus per infettare i computer ha utilizzato lo stesso “stratagemma” di WannaCry, l’attacco hacker che a maggio ha colpito quasi 300mila dispositivi. Gli hacker hanno sfruttato una falla presente nel protocollo SMB di Windows, ovvero la porta utilizzata da stampanti e dai computer per comunicare tra di loro. Se il virus riesce a infettare il computer principale di una rete aziendale, manda in blocco tutti i pc della società.
Dalle prime analisi delle aziende di sicurezza informatica, gli hacker avrebbero utilizzato EternalBlue per infettare i computer delle società. Per chi non lo sapesse, EternalBlue è una cyber arma sviluppata dalla NSA (l’agenzia per la sicurezza nazionale degli Stati Uniti) e che è stata rubata lo scorso anno da un gruppo di hacker russi. La stessa cyber arma è stata usata anche durante l’attacco Wannacry.
Un ransomware pericolosissimo
Petya è un virus molto pericoloso. Sono pochissimi gli antivirus che riescono a riconoscerlo e quando entra in funzione cripta l’intero hard disk del computer e non i singoli file, rendondo impossibile il riavvio del dispositivo.
Cosa è Petya
Gli esperti del settore conoscono molto bene Petya, infatti il virus ha già colpito molti computer negli anni passati. Ma in questo nuovo attacco, gli hacker utilizzano una nuova versione del ransomware che lo rende molto più potente e quasi impossibile da fermare. Tanto che Kaspersky Lab ha comunicato che l’attacco non sarebbe stato effettuato utilizzando Petya, ma un nuovo ransomware sconosciuto a tutti.
Tutto il Mondo sotto attacco
Come WannaCry, la nuova campagna di ransomware sembra inarrestabile e cresce di minuto in minuto, travolgendo aziende pubbliche e private. Oltre all’Ucraina, anche Russia e Spagna sono tra le Nazioni più colpite. A finire nella trappola del ransomware figura anche la danese Maersk, attiva nel settore della logistica marittima e navale, e la casa farmaceutica Merck. A Rotterdam, in Olanda, le autorità sono stata costrette a chiudere una parte del porto commerciale.
Per il momento in Italia le notizie sono contrastanti, tra qualche ora se ne saprà sicuramente di più.
Chi ha effettuato l’attacco
L’attacco è nato in Ucraina e si è propagato poi in tutta Europa. Le aziende finite nella trappola dal nuovo ransomware erano già state colpite qualche anno fa da hacker russi. Ed è molto probabile che anche in questa occasione, a manovrare l’attacco, ci siano pirati informatici russi. Ma per essere sicuri bisognerà aspettare qualche giorno.
Impossibile pagare il riscatto
Per poter pagare il riscatto in Bitcoin, gli hacker avevano creato un indirizzo e-mail su un sito tedesco che non richiede i dati personali per aprire la casella di posta elettronica. Dopo la diffusione della notizia dell’attaco hacker, però, la società tedesca ha bloccato l’accesso all’indirizzo e-mail degli hacker, rendendo impossibile il pagamento del riscatto. Mentre chi ha già pagato, non riceverà la chiave per decriptare i dati.
Come difendersi dall’attacco hacker
Non conoscendo ancora perfettamente come agisce il nuovo ransomware è impossibile elaborare una strategia difensiva. Ma sicuramente non si deve pagare il riscatto richiesto dagli hacker, si andrebbe a finanziare un’attività illegale e lo sviluppo di nuovi virus. Per il momento si deve temporeggiare e aspettare che qualche società di sicurezza informatica riesca a fermare l’attacco.
L’unico strumento nelle mani degli utenti è quello della prevenzione. Come abbiamo visto, il virus del riscatto sfrutta una falla presente in un protocollo di Windows: l’azienda di Redmond aveva già risolto questo problema nel mese di marzo, purtroppo moltissimi utenti non avevano installato l’aggiornamento. Molto spesso per difendersi basta un po’ di attenzione e seguire delle semplice regole:
- Aggiornare costantemente il proprio sistema operativo e l’antivirus
- Non cliccare sui link che provengono da persone che non si conoscono o che non si ritengono affidabili
- Non cliccare sui banner pubblicitari poco chiari
- Non aprire mail provenienti dagli sconosciuti
- Non scaricare gli allegati che non si ritengono sicuri
- Effettuare costantemente il backup dei dati in modo da essere sempre al sicuro
