Petya – Петя

petya

Un nuovo attacco sta diffondendo un malware che utilizza una versione modificata del tool NSA EternalBlue e due utilità di Windows per attacchi laterali sulle reti locali, raggiungendo livelli di complessità che sorpasserebbero WannaCry di molte magnitudini.

A differenza di WannaCry, questo nuovo esempio di ransomware non contiene nessun killswitch e sta penetrando attraverso le reti aziendali ed endpoint, forzando alcuni addetti ai lavori a scollegare da internet le loro macchine.
Importanti industrie e servizi critici sono stati colpiti dall’attacco iniziato questa mattina in Russia, in Ucraina e poi in tutta Europa, tra cui la stazione di monitoraggio delle radiazioni per la centrale elettrica nucleare di Chernobyl e l’operazione MSD del gigante farmaceutico Merck e Co. nel Regno Unito. Ciò aumenta una lista crescente di vittime che comprende anche i giganti danesi Maersk, la banca centrale dell’Ucraina, l’aeroporto Borispol di Kiev e decine di altre vittime, insieme a SaintGobain, un produttore leader in Francia e la società petrolifera russa Rosneft e il produttore di acciaio Evraz .

A complicare le cose, il provider del servizio email usato da Petya per il riscatto, ha sospeso l’account wowsmith123456 @ posteo.Net. Le vittime sono state avvisate di non pagare alcun riscatto perché non ci sarebbe modo per l’hacker di consegnare la chiave di decodifica anche dopo l’invio di $300 in Bitcoin.

“Non esiste ancora una soluzione, e l’e-mail per il riscatto non è piu valida, quindi non è consigliabile pagare”, riferisce il ricercatore Sean Dillon di RiskSense.

Il ransomware si comporta allo stesso modo di un ceppo dell’anno scorso, Petya, che codifica la MFT del computer insieme a un certo numero di tipi di file. Gli esperti sono divisi se questo sia Petya, una variante o qualcosa di completamente nuovo, cosa che poco importa alle vittime in tutto il mondo.

“Questo sembra essere un attacco complesso che coinvolge diversi vettori d’attacco”, ha riferito Kaspersky Lab in una dichiarazione. L’azienda ha pubblicato l’analisi dell’attacco di questo pomeriggio.

La gravità di questo attacco è moltiplicata dal fatto che persino i server con patch contro la vulnerabilità SMBv1 sfruttata da EternalBlue possono essere attaccati con successo, a condizione che almeno un server Windows sulla rete sia vulnerabile al MS17-010 di Marzo 2017.

Gli attaccanti hanno costruito la capacità di infettare le macchine locali patchate utilizzando l’utility PSEXEC Windows SysInternals per eseguire un attacco pass-the-hash. Alcuni ricercatori hanno anche documentato l’utilizzo dell’interfaccia di script di riga di comando di Windows Management Instrumentation (WMIC) per diffondere localmente il ransomware. Le organizzazioni sono invitate a disattivare entrambe le utilità e applicare MS17-010 se non lo hanno ancora fatto.

“Se faccio funzionare l’attacco sulla mia macchina e sono un amministratore di dominio, utilizza le mie credenziali per l’autenticazione ad altre macchine della rete”, ha dichiarato Matthew Hickey, fondatore della My Hacker House. “In un ambiente aziendale, se si ottiene accesso ad un utente privilegiato, un amministratore di dominio, si diffonde in rete anche a tutte le altre macchine”.

A differenza di WannaCry, questo attacco non dispone di una componente worming rivolta verso Internet e analizza soltanto le sotto reti locali per infettare gli altri dispositivi.

“Penso che questo sia in realtà peggiore di WannaCry da questa prospettiva”, ha dichiarato Jake Williams, fondatore di Rendition Infosec. Williams ha dichiarato che questa versione di EternalBlue è stata “ripulita” e che non è un copia-incolla dell’originale trapelato da ShadowBrokers in Aprile insieme alla piattaforma Fuzzbunch. Una volta che un server è compromesso da EternalBlue, l’aggressore è come utente di sistema.

I ricercatori di Cisco, in seguito confermati anche da Kaspersky Lab, hanno identificato un file contabile fiscale ucraino chiamato MeDoc come un potenziale vettore di infezione. I ricercatori delle due società hanno dichiarato che alcune infezioni potrebbero essere collegate ad un attacco ai sistemi di aggiornamento software di MeDoc. Come Email di phishing con documenti Excel infetti che sfruttano una vulnerabilità CVE-2017-0199, una vulnerabilità di esecuzione di codice remoto di Microsoft Office / WordPad.

Il portavoce di Avecto – Andrew Avanessian ha dichiarato che questo potrebbe essere il malware base usato per creare nuove tipologie di attacco in futuro.

“I criminali informatici stanno prendendo un pezzo preesistente di malware e cambiado alcuni degli elementi di payload. Con il rilascio di diverse tecniche di hacking dalla NSA, le capacità di hacking di un paese sono ora in mano a nuovi cybercriminali “, ha detto Avanessian.

ах Петька Петька..!!

Fonte: Threatpost.com

Leave a Reply

Your email address will not be published. Required fields are marked *