APC
G DATA: Petya redivivo

G DATA: Petya redivivo

G DATA: "Il ransomware si ripresenta occasionalmente con nuove vesti, l'ultima volta come GoldenEye".

Pubblicato: 28/06/2017 15:15

di: Redazione BitCity

   

Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall'attacco e dai media, l'ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l'aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell'infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.
Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l'unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l'attuale campagna. 
G DATA sconsiglia di pagare qualsiasi riscatto. Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati. 
Tra l'altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l'attacco su larga scala, il provider tedesco ha bloccato l'accesso alla casella e ha informato l'Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.
Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l'origine dell'ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l'aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il "nuovo" Petya non si propaga tramite Internet.
Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l'esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun "killswitch".
All'attuale stato delle cose, la componente che dà luogo alla diffusione dell'ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.Il ransomware prende di mira file con le seguenti estensioni:
.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.xlsx .xvd .zip

G DATA ha riscontrato una generalizzata confusione nell'assegnare un nome all'attuale variante del ransomware "Petya". La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome "Petya".
Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.

Ultime News
HTC alza il sipario su HTC U12+, il suo nuovo top di gamma

HTC alza il sipario su HTC U12+, il suo nuovo top di gamma

HTC U12+ è dotato di Edge Sense 2, schermo 6”, doppie-fotocamere, audio personalizzato USonic e...

San Marino leader del 5G in Europa: al via i primi servizi

San Marino leader del 5G in Europa: al via i primi servizi

Prossima attivazione, con la collaborazione di Nokia, dei primi nodi di rete 5G per trasformare...

L'11 e il 12 giugno l'hackathon dedicato a TOBi, l'assistente digitale di Vodafone

L'11 e il 12 giugno l'hackathon dedicato a TOBi, l'assistente digitale di Vodafone

"TOBi Hack" è aperto a studenti, giovani e startupper che vorranno mettersi in gioco in una...

 Raz Degan e Michelle Hunziker sono i personaggi delle spettacolo più cercati nel web

Raz Degan e Michelle Hunziker sono i personaggi delle spettacolo più cercati nel web

Tra gli uomini completano il podio Beppe Grillo e Adriano Celentano. Tra le donne al secondo...

Tutti i libri per le vacanze in un solo

Tutti i libri per le vacanze in un solo "Touch" con Pocketbook HD2

Il dispositivo contiene 97 e-book gratuiti preinstallati in 14 lingue (di cui 7 in italiano).

Qualcomm e Facebook portano la connessione ad alta velocità oltre i 60GHz nelle aree urbane

Qualcomm e Facebook portano la connessione ad alta velocità oltre i 60GHz nelle aree urbane

Facebook e Qualcomm hanno stretto un accordo per migliorare il progetto “Terragraph” che mira a...

I piu' letti
Per Voi


Uspi BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

G11Media