PetrWrap, attacco globale in corso

A poco meno di due mesi da WannaCry, un nuovo attacco globale ha colpito pesantemente aziende e infrastrutture critiche in Ucraina, Russia ed Europa e si sta diffondendo rapidamente. Il numero dei paesi coinvolti è destinato a crescere nelle prossime ore e abbiamo ragione di ritenere che siano coinvolte anche aziende italiane.

L'Ucraina è il paese più colpito, con interruzione di servizi come elettricità e trasporti. Colpita anche la centrale nucleare di Chernobyl, limitatamente agli apparati che ne controllano la radioattività, mentre non risultano compromessi i sistemi di contenimento delle radiazioni.

Tra le vittime del ransomware inoltre il colosso del trasporto marittimo danese Maersk, il gigante della pubblicità britannico Wpp e la società francese Saint-Gobain. Negli Stati Uniti la farmaceutica Merck è stata la prima compagnia Usa ad aver confermato di essere stata attaccata.

Responsabile del cyberattacco è PetrWrap, una variante del ransomware (codice malevolo che rende inaccessibili i file e chiede un riscatto per essere eliminato) Petya già nota agli esperti, in grado di bloccare l’intero sistema operativo Windows criptando la tabella MFT del filesystem NTFS.

Tale variante sfrutta l’exploit EternalBlue, il codice rubato alla NSA, per propagarsi all’interno della rete locale. Nonostante la vulnerabilità fosse stata patchata a marzo di quest’anno per tutte le versioni dei sistemi operativi Windows, molti utenti sono stati comunque colpiti.
L’infezione infatti, che si propaga con email di phishing, riesce a diffondersi se in una rete c’è anche una sola macchina infettata, colpendo in modo laterale macchine non vulnerabili. Per diffondersi all'interno della rete il malware utilizza:

  • la vulnerabilità MS17-10 (come WannaCry)
  • l'accesso remoto a WMI (Windows Management Instrumentation)
  • il toolkit «PSEXEC» o qualche strumento simile

RACCOMANDAZIONI

  • Installare gli aggiornamenti di Windows necessari (MS17-10)
  • Disabilitare SMB1

È inoltre consigliato bloccare l'esecuzione del software «psexec.exe» su macchine potenzialmente compromesse e bloccare l'accesso remoto a WMI.