Ore 14 e 04 del 28 giugno 2017. Non è più Petya, il un nuovo attacco di ransomware globale, è già stato superato da una variante che Talos, il dipartimento di Intelligence sulle minacce informatiche e laboratorio di ricerca sulla sicurezza informatica di Cisco, ha chiamato Nyetya, si sta svolgendo in tutto il mondo e in particolare in Europa. Ieri sera era nato NotPeteya. La confusione è massima, la minaccia molto reale. L’analisi iniziale indica che l’attacco è iniziato in Ucraina, indirizzato a varie aziende e agenzie governative. I ricercatori di Talos ritengono che il primo attacco verificatosi in Ucraina abbia avuto origine da sistemi di aggiornamento software di un pacchetto contabile fiscale ucraino chiamato MeDoc. Questo sembra essere stato confermato da MeDoc stesso.
Sempre oggi Symantec conferma che il ransomware Petya, come WannaCry, utilizza l’exploit EternalBlue per diffondersi.
Matthias Ollig, CTO Avira. “Dopo aver decriptato completamente il Trojan abbiamo inoltre scoperto che non usa solamente l’exploit EternalBlue, ma contiene anche la backdoor DoublePulsar di NSA” continua Ollig “Siamo sorpresi nel vedere come dopo la debacle di WannaCry, ci siano ancora così tante macchine connesse a Internet che non sono provviste degli ultimi aggiornamenti della sicurezza di Windows, specialmente in ambienti critici.” Ecco infine il commento di McAfee: L’episodio di attacco ransomware globale Petya di questi giorni è solo il più recente step nell’evoluzione del ransomware iniziato settimane fa con l’epidemia WannaCry. Ma con Petya questa tipologia di attacchi ha fatto un vero e proprio balzo, dipingendo un quadro davvero allarmante di compputer senza patch usate per infettare migliaia di macchine a sia protette sia non protette. Ransomware inizialmente agiva infettando migliaia di singoli sistemi, uno alla volta, detenendoli in ostaggio per riscuotere un pagamento dai singoli utenti. L’impatto di tali campagne ransomware è sempre stato limitato perché la metodologia di distribuzione – le email di phishing – ha sempre impiegato parecchio tempo per raggiungere l’obiettivo. WannaCry ha portato il ransomware a un nuovo livello, introducendo un worm sui computer tramite una particolare vulnerabilità.
La cronaca di quanto accaduto la notte scorsa la trovate qui. Come è evidente. L’attribuzione e l’analisi del malware non sono una scienza esatta.
E ora passiamo alle mappe. Nel blog MalwareTech potete trovare una mappa interattiva della diffusione del virus che si aggiorna in tempo reale. In particolare vengono monitorati i ‘botnet’, cioè le reti fantasma costruite dai malware sfruttando la potenza di calcolo dei pc infettati e collegati tra di loro. Registrando quei domini, si può vedere come si infettano le reti.
Premere sul tasto connect
Questa invece è la mappa del Cert Ue, l’unità di risposta alle emergenze informatiche dell’Unione europea. Ci sono le notizie e anche la geolocalizzazione delle medesime. Quindi più che un sito che tiene traccia degli attacchi, monitora quello che dicono i media.
Qui infine avete la mappa del produttori di antivirus. Si basano sui dati che ricevono dai loro software. Qui trovate quella di Norton (Symantec), Kaspersky, Akamai, e quella di Trend Micro.