Kaspersky Lab, il ransomware Petya è ... davvero Petya?

Kaspersky Lab, il ransomware Petya è ... davvero Petya?

Kaspersky Lab sta studiando con attenzione il caso del malware finora denominato "Petya", che potrebbe però essere un nuovo ransomware mai stato visto prima.

Negli ultimi giorni, un nuovo, imponente attacco hacker ha colpito i computer di mezzo mondo. I dati di Kaspersky Lab indicano che circa 2.000 utenti sono stati finora attaccati. I maggiori "danni" si notano in Russia e Ucraina, ma altri attacchi si registrano anche in Polonia, Italia, Regno Unito, Germania, Francia, Stati Uniti, e diversi altri Paesi.

Al contrario di quanto pubblicamente riportato, le prime analisi suggeriscono che non si tratti di una variante del ransomware Petya, ma di un nuovo ransomware che non è mai stato visto prima. Sebbene diverse stringhe siano simili a Petya, le funzionalità sono completamente diverse.

Kaspersky Lab ha chiamato questo "nuovo" malware ExPetr.

In generale, la situazione attuale sembra puntare verso un tipo di cyber-attacco complesso, che coinvolge diversi vettori d'attacco. Kaspersky Lab può confermare che i già noti exploit EternalBlue ed EternalRomance, modificati, vengono utilizzati dai cyber-criminali per la propagazione dell'infezione all'interno delle reti aziendali.

Kaspersky Lab rileva la minaccia come:

  • UDS:DangerousObject.Multi.Generic         
  • Trojan-Ransom.Win32.ExPetr.a         
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Il sistema di rilevamento di Kaspersky Lab basato sui comportamenti SystemWatcher rileva la minaccia come:

  • PDM:Trojan.Win32.Generic         
  • PDM:Exploit.Win32.Generic

Cosa fare: le soluzioni e i consigli di Kaspersky

Kaspersky Lab ha in genere rilevato proattivamente il vettore d’infezione iniziale tramite, appunto, System Watcher, il sistema Kaspersky basato sui comportamenti. Kaspersky Lab sta lavorando sul miglioramento di tali rilevamenti anti-ransomware per identificare proattivamente ogni possibile versione futura.

Inoltre, Kaspersky Lab sta continuando ad analizzare l’attacco per determinare se sia possibile decriptare i dati colpiti e sviluppare quindi un tool di decriptazione quanto prima.

Kaspersky consiglia a tutte le aziende di aggiornare i propri software Windows: gli utenti Windows XP e Windows 7 possono installare la patch di sicurezza MS17-010. Tutte le organizzazioni dovrebbero inoltre assicurarsi di aver fatto il back up dei file. Un back up completo dei dati può essere utilizzato per ripristinare i file originali dopo l’attacco.

Kaspersky Lab consiglia inoltre ai propri clienti corporate di:

  • Assicurarsi che tutti i meccanismi di protezione siano attivi e che le componenti KSN e System Watcher (che sono attive di default) non siano state disabilitate.  
  • Usando l’Application Startup Contro, incluso in Kaspersky Endpoint Security, è possibile evitare l’esecuzione del file chiamato perfc.dat e bloccare l’esecuzione dell’utility PSExec (parte della Sysinternals Suite).              
  • Configurare e abilitare la modalità di Default Deny dell’Application Startup Control per garantire e migliorare la difesa proattiva da questo e altri attacchi.