Pictet-Security: il secondo attacco ransomware massiccio in due mesi

Dopo WannaCrypt a maggio, il malware Petya ha iniziato pochi giorni fa ad attaccare alcune reti di grandi compagnie, colpendo solo i computer che utilizzano il sistema operativo Windows.

Il ransomware1 ha paralizzato i sistemi informatici del gigante danese dei trasporti marittimi Maersk, dell’agenzia di pubblicità britannica WPP, del gigante del petrolio russo Rosneft, del gigante farmaceutico americano Merck, della centrale nucleare di Chernobyl e di molti altri.

Molte delle prime relazioni delle organizzazioni colpite provenivano dall’Ucraina, incluse banche, compagnie energetiche e persino l’aeroporto principale di Kiev.

Il malware diffuso è una versione migliorata del ransomware GoldenEye, che a sua volta è una variante della famiglia di ransomware Petya.

Petya esiste dal 2016. Essa differisce dal ransomware tipico in quanto non solo crittografa i file, ma sovrascrive e codifica anche il master boot record (MBR), rendendo il file system non leggibile e impedendo il riavvio del PC.

Inquest’ultimoattacco,laseguentenotadiriscattoèstatavisualizzatasullemacchineinfette,richiedendochevenisse pagato $300in bitcoinperrecuperareifile:

 

Poiché il malware è conosciuto fin dal 2016, alcune aziende di cybersecurity (comeSymantec) hanno proposto soluzioni (come Symantec Endpoint Protection) che proteggono in modo proattivo i clienti dal tentativo di diffusione di Petya e individuano in via preventiva i componenti di Petya.

Ciononostante, sembra che il ransomware si sia diffuso velocemente perché utilizza un codice da EternalBlue, un exploit (virus che sfrutta le vulnerabilità dei sistemi operativi datati) sviluppato dalla National Security Agency (NSA) che è stato sottratto diversi mesi fa.

L’attacco si è diffuso sfruttando i difetti di codifica nelle versioni precedenti di Microsoft Windows: Microsoft ha emesso una patch per la vulnerabilità già nel marzo del 2017, ma ora questo secondo incidente dimostra che molti sistemi rimangono vulnerabili.

Kaspersky, una società di cyberecurity, ha effettuato le seguenti considerazioni sull’aumento dei ransomware:

• Le statistiche geografiche mostrano che gli aggressori passano in Paesi precedentemente non raggiunti, dove gli utenti non sono abbastanza preparati per

combattere il ransomware e dove la concorrenza tra i criminali non è così alta.

• La cosa preoccupante è il fatto che gli attacchi di ransomware stanno diventando sempre più mirati, colpendo “infrastrutture finanziarie” in tutto il mondo (ossia l’insieme di istituzioni che permettono operazioni efficienti agli intermediari finanziari). Il motivo di questa tendenza è chiaro – i criminali considerano attacchi ransomware mirati contro le imprese potenzialmente più redditizie degli attacchi

di massa agli utenti privati.

• I numeri mostrano che i ransomware sui PC sono ancora in crescita – anche se con

un tasso di crescita più lento.

• Inoltre, il numero degli utenti attaccati con ransomware mobili nel periodo osservato è sceso. Questo potrebbe essere un segno di una collaborazione di successo tra i fornitori di soluzioni di sicurezza, le autorità di vigilanza e altri istituti. Anche la maggiore consapevolezza delle minacce, alimentata dalla

copertura dei media mondiali sulle campagne fraudolente più importanti, ha avuto

un ruolo in questo trend.

• Un altro motivo è lo sviluppo di iniziative congiunte per proteggere gli utenti dai

 

ransomware: il progetto NO MORE RANSOM è stato lanciato da Europol, dalla

polizia nazionale olandese, da Intel Security e da Kaspersky Lab.

Pictet-Security offre agli investitori esposizione ai maggiori player nello spazio della cybersecurity, come Symantec (1,8% del fondo al 28.06.2017) o Proofpoint (1.6%), che forniscono soluzioni per combattere questi ransomware e ne evitano la trasmissione.

L’esposizione complessiva alla cybersecurity del comparto è attualmente prossima al 15%.

a cura del team di gestione di Pictet-Security


Pubblicato

in

da

Pin It on Pinterest