Cyber Threat Intelligence Report Petya-based Ransomware
Il 27 giugno 2017, un’infezione su larga scala causata da una variante del ransomware Petya ha colpito numerose organizzazioni in Ucraina, Russia ed Europa Occidentale. Questo attacco, avvenuto circa un mese dopo il noto WannaCry, ha sfruttato vulnerabilità simili nei sistemi Windows, in particolare la vulnerabilità EternalBlue. Il malware si è diffuso inizialmente attraverso un aggiornamento infetto del software MeDoc, ampiamente utilizzato in Ucraina, per poi propagarsi rapidamente in altri paesi.
L’attacco ha colpito diversi settori critici, tra cui aeroporti, aziende energetiche, banche e servizi militari, sollevando nuove preoccupazioni sulla sicurezza informatica globale.
Il 27 Giugno 2017, sulla rete, si è registrata un’infezione su larga scala, derivante dalla diffusione di un ransomware basato su una variante del codice Petya.
Il malware si propaga sfruttando alcune recenti vulnerabilità di Office/Windows (denominata EternalBlue) ed, in particolare, una versione modificata dello stesso exploit impiegato nel ransomware WannaCry.
Analisi della cyber threat intelligence: confronto tra Petya e WannaCry
I principali target sono aziende localizzate in Ucraina, Russia ed Europa Occidentale e appartenenti a diverse industry. quali ad esempio terminal aeroportuali, aziende energetiche, banche, fabbriche, società di assicurazioni, servizi militari.
Il nuovo attacco ransomware Petya, avvenuto a circa un mese di distanza da quello denominato WannaCry, ha rilanciato l’allerta e la preoccupazione in merito alla sicurezza informatica.
Modalità di diffusione e vulnerabilità sfruttate dal ransomware Petya
Secondo varie fonti l’attacco avrebbe inizialmente utilizzato per la diffusione un aggiornamento infetto per la suite software MeDoc, un pacchetto software utilizzato da molte organizzazioni ucraine, paese da cui sarebbe appunto partito il virus.
Dopo aver preso il via da Kiev l’infezione si è poi propagata in Russia e in Europa sfruttando la vulnerabilità CVE-2017-0199 (detta EternalBlue), ripetendo in parte lo scenario già visto con WannaCry.
Dettagli tecnici sulla vulnerabilità EternalBlue e metodi di propagazione
La vulnerabilità EternalBlue è legata al protocollo SMB utilizzata sui sistemi Microsoft da Windows XP a Windows 2008 sulla porta TCP 445 o 139 a cui non è stata precedentemente applicata la patch Microsoft MS17-010.
Il ransomware utilizza anche le utility Psexec e WMI (Windows Management Instrumentation) che sono componenti lecitamente presenti nei sistemi Windows. Secondo l’analisi svolta da Group IB, il malware sfrutta anche la vulnerabilità CVE-2017-0144.
Per capire la portata dell’attacco, DeepCyber, azienda italiana specializzata in cyber threat intelligence, ha emesso, il 28 giugno ore 8.00, un primo report in italiano, per l’analisi e le raccomandazioni tecniche.
Per scaricare il report è sufficiente cliccare sul seguente link
DeepCyber_Incident-Report_PETYA-BASED RANSOMWARE
L’attacco ransomware Petya ha evidenziato ancora una volta la crescente minaccia rappresentata dai cyber attacchi su scala globale. La rapidità e l’ampiezza della diffusione del malware hanno messo in luce la necessità di una maggiore attenzione alla cyber security e di una più efficace implementazione delle patch di sicurezza.
La vulnerabilità EternalBlue, sfruttata sia da Petya che da WannaCry, ha dimostrato come falle nei sistemi operativi ampiamente diffusi possano essere sfruttate per causare danni significativi a livello internazionale. Questo incidente ha sottolineato l’importanza di una risposta rapida e coordinata da parte delle organizzazioni di sicurezza informatica e dei governi.
Il report emesso da DeepCyber, azienda italiana specializzata in cyber threat intelligence, offre un’analisi dettagliata dell’attacco e fornisce raccomandazioni tecniche cruciali. Questo tipo di condivisione di informazioni e best practice è fondamentale per migliorare la resilienza collettiva contro future minacce informatiche.
