Kaspersky, non è Petya ma un nuovo ransomware. E lo chiamano NotPetya

Pubblicato il: 27/06/2017
Autore: F.M.

Gli esperti di Kaspersky Lab non hanno dubbi. Non siamo di fronte a una variante di un precedente ransomware ma di un nuovo tipo. E lo chiamano NotPetya.

Se da una parte l'attacco ransomware odierno si estende ad altri paesi, ora entrano in campo gli esperti del mercato della sicurezza e arrivano le prime sentenze.
Per esempio gli esperti di Kaspersky Lab non hanno dubbi. Non si sta assistendo a un attacco da parte di una variante del precedente ransomware WannaCry (che oggi chiamano oggi tutti Petya), ma di un vero e proprio nuovo ransomware. E per ribadire con enfasi quello che attualmente viene verificato nei propri laboratori di sicurezza coniano per il nuovo ransomware un preciso nome: NotPetya.
Secondo le affermazioni di Costin Raiu, Director Global Research & Analysis Team di Kaspersky Lab, gli analisti di Kaspersky Lab stanno studiando la nuova ondata di attacchi di ransomware rivolti contro le organizzazioni di tutto il mondo.
"I risultati preliminari suggeriscono che non sia una variante del ransomware Petya al contrario di quanto pubblicamente riportato, ma un nuovo ransomware che non è mai stato visto prima. Ecco perché l'abbiamo chiamato NotPetya", sottolinea Raiu.
I dati di Kaspersky  indicano finora circa 2.000 utenti attaccati. Le organizzazioni in Russia e l'Ucraina sono le più colpite, anche se si sono registrati attacchi in Polonia, Italia, Regno Unito, Germania, Francia, Stati Uniti e diversi altri Paesi.
"Questo sembra essere un attacco complesso che coinvolge diversi vettori d'attacco. Possiamo confermare che un exploit modificato EternalBlue è utilizzato per la propagazione almeno all'interno delle reti aziendali". E Kaspersky Lab rileva la minaccia come UDS: DangeroundObject.Multi.Generic.
Infine, gli esperti di Kaspersky Lab si preparano a rilasciare nuove firme, incluso il componente System Watcher nel più breve tempo possibile e determinare se sia possibile decrittografare i dati bloccati nell'attacco, con l'intento di sviluppare uno strumento di decrittografia non appena possibile.
Consigliamo a tutte le aziende di aggiornare il loro software Windows e verificare di avere effettuato il backup dei propri dispositivi e che la soluzione di rilevamento dei ransomware sia in esecuzione.
I clienti di Kaspersky Lab sono inoltre invitati a: 
  • Verificare che tutte le soluzioni di protezione siano attivate come indicato; e che abbiano abilitato il componente KSN / System Watcher.
  • Utilizzare la funzione AppLocker per disabilitare l'esecuzione di tutti i file che riportano il nome "perfc.dat";
  • così come l’Utility PSExec dalla suite Sysinternals.

Cosa pensi di questa notizia?

Area Social

Vota