Luca Colantuoni,

Nelle ultime ore sono arrivate numerose segnalazioni relative ad un nuovo attacco informatico contro banche, aziende di telecomunicazioni e aeroporti, la maggior parte dei quali si trovano in Ucraina. Dalle prime informazioni sembra si tratti di una versione aggiornata di Petya, un ransomware scoperto dai Kaspersky Labs nel mese di marzo. Avira e Symantec affermano che il malware si propaga in modo simile a WannaCry, sfruttando il famigerato exploit EternalBlue.

In base alle prime notizie, i danni maggiori sono stati segnalati in Ucraina. I sistemi informatici della banca centrale, dell’aeroporto internazionale di Boryspil e del fornitore di energia elettrica Ukrenergo sono stati compromessi. Attaccati anche singoli dispositivi, come POS e ATM. Il malware ha colpito inoltre i server della compagnia petrolifera Rosneft in Russia, la società di spedizione Maersk in Danimarca e l’azienda farmaceutica Merck negli Stati Uniti. Altre segnalazioni di attacchi arrivano da Regno Unito, Irlanda, Olanda e Francia.

Secondo un esperto dei Kaspersky Labs si tratta del ransomware Petrwrap (versione derivata da Petya), del quale sono state trovate tracce risalenti al 18 giugno. Ciò significa che il malware aveva già infettato i computer e oggi è entrato in funzione. Diverse software house, tra cui Avira e Symantec affermano che il ransomware utilizza lo stesso exploit di WannaCry. EternalBlue, reso pubblico dal gruppo Shadow Brokers ad aprile, sfrutta la vulnerabilità nel server SMBv1 di Windows, per la quale Microsoft ha rilasciato la patch per tutte le versioni del sistema operativo, Windows XP incluso.

Il funzionamento di Pettrwrap/Petya è lo stesso di WannaCry. I file vengono cifrati e per ottenere nuovamente l’accesso è necessario pagare un riscatto di 300 dollari in Bitcoin entro una certa scadenza. Solo così si potrà ricevere (in teoria) la chiave crittografica. L’origine dell’attacco non è chiaro, anche se molti puntano il dito contro la Russia.