Virus Petya o #NotPetya, cos'è e come difendersi

Foto d'archivio (GettyImages)
4' di lettura

Come WannaCry, usa uno strumento rubato all'Agenzia di sicurezza nazionale americana (Nsa). Prende di mira i sistemi Windows

Potrebbe essere Petya, ma non tutte le società sono concordi, il virus responsabile dell'ultimo cyberattacco che ha preso di mira compagnie e sistemi informatici di Ucraina, Russia, Gran Bretagna, Danimarca, Francia, solo per citare i primi Paesi colpiti da questa nuova ondata di malware.

Minaccia ransomware

Petya è un ransomware, una tipologia di virus che blocca computer e sistemi informatici criptandone i dati e che chiede alle vittime dei pagamenti in Bitcoin con la promessa dello sblocco dei file. Si tratta di uno strumento che gli hacker stanno utilizzando sempre più di frequente con un cambio di strategia. Non più solo tanti attacchi a singole persone con richieste di pagamenti contenuti, ma vere e proprie campagne globali e nei confronti di grosse compagnie. La particolarità di Petya è quella di bloccare non solo singoli file ma l'intero hard disk del computer, cioè la memoria che archivia file, programmi e sistemi operativi. Il virus Petya non è nuovo: ha esordito nel 2016 e la sua nuova variante "Petrwrap" è comparsa a inizio 2017. Secondo un esperto interpellato dalla Bbc, Chris Wysopal di Veracode, il virus pare propagarsi sfruttando falle di Windows simili a quelle sfruttate da WannaCry.

Come WannaCry, usa strumento rubato a Nsa

A puntare il dito contro questo virus sono diverse società di sicurezza, da Group-IB a Symantec, che in un tweet aggiunge un particolare interessante. Proprio come WannaCry, che a maggio ha bloccato i sistemi informatici di oltre 150 Paesi, anche Petya userebbe EternalBlue, uno strumento rubato all'Nsa, l'Agenzia nazionale per la sicurezza negli Stati Uniti. EternalBlue è un codice d'attacco, in gergo "exploit".

 

 

Nel caso di Wannacry la cyber arma ha sfruttato una vulnerabilità di un software di Microsoft (che poi ha corretto la falla) ed è stata messa online da un misterioso gruppo di hacker di nome Shadow Brokers che ha sottratto una serie di strumenti digitali all'agenzia americana poi li ha messi online.

Petya o #NotPetya

Secondo un tweet dei Kaspersky Lab il responsabile dell'attacco hacker non sarebbe Petya, ma un nuovo tipo di ransomware mai visto prima. Gli esperti lo hanno ribattezzato "NotPetya". Secondo le analisi preliminari della compagnia il virus avrebbe attaccato finora 2 mila utenti. In Russia e Ucraina le aziende più colpite, ma sono stati registrati attacchi anche in Italia, Polonia, Regno Unito, Germania, Francia, Stati Uniti e altri Paesi. Anche Kaspersky conferma che ha utilizzato l'exploit EternalBlue.

 

"Virus atipico per azione su vasta scala"

Secondo l'esperto di sicurezza Andrea Zapparoli Manzoni "l'uso del virus Petya è atipico per una azione cybercriminale su questa scala". "Questo particolare ransomware", spiega all'ANSA, "potrebbe essere stato usato come mezzo distruttivo per la sua caratteristica di cifrare l'intero disco del computer, che quindi diventa inutilizzabile. Confondendo così le acque perché si tratta di un ransomware e non, strettamente parlando, di una cyber-arma. Perfetto quindi per coprire un attacco con finalità geopolitiche". "Petya è atipico per un attacco cyber-criminale di questa vastità per due ragioni. Non è un ransomware molto efficace perché blocca completamente i computer colpiti e quindi gli utenti faticano a pagare il riscatto. Inoltre, per come è progettato, Petya si presta ad essere 'hackerato', il che facilita il recupero della chiave di cifratura usata. Fa troppo rumore per un'ondata di attacchi di questo tipo, ciò che stiamo osservando non è storicamente nello 'stile' dei criminali".

Come difendersi

Contro virus come Petya e WannaCry restano valide le ormai "solite" indicazioni degli esperti di sicurezza. Tenere aggiornati i software e sistemi operativi sui propri computer e smartphone, utilizzare password efficaci, installare validi antivirus.

Leggi tutto