Un attacco informatico con riscatto (ransomware) simile a quello dello scorso maggio realizzato sfruttando il virus WannaCry è in corso in diversi paesi del mondo. In Ucraina, i computer di alcune agenzie governative e di molte società, tra cui la banca centrale del paese, l’aeroporto internazionale e la metropolitana di Kiev, sono stati stati interessati dall’attacco. È stata colpita anche l’azienda energetica Ukrenego, ma un portavoce ha spiegato che non ci sono state interruzioni nell’erogazione della corrente elettrica. Secondo il quotidiano ucraino Pravda anche i sistemi informatici dell’ex centrale nucleare di Chernobyl sono stati interessati, ma l’attacco non ha avuto particolari conseguenze. Sono state colpite dal virus anche la grande società di trasporto marittimo danese AP Moller-Maersk, la compagnia petrolifera russa Rosnoft e la casa farmaceutica olandese Merck. Negli Stati Uniti sono stati segnalati problemi negli uffici dello studio legale DLA Piper. Ha avuto problemi anche la grande società britannica di pubblicità WPP e la multinazionale francese di prodotti per l’edilizia Saint-Gobain.
Kaspersky Lab, una delle più importanti società di sicurezza online al mondo, ha condotto alcune analisi ed è arrivata alla conclusione che il ransomware non era mai stato sfruttato prima, per lo meno non in questa forma. Il malware blocca l’accesso a un computer e offre al suo proprietario la restituzione dei propri dati in cambio di un riscatto. Secondo Kaspersky anche in Italia sono stati colpiti alcuni computer. Kasperky ha escluso che possa trattarsi di Petya, un tipo di ransomware già noto, e per questo ha chiamato il nuovo virus NotPetya, ma non tutti gli esperti di sicurezza informatica concordano su questo punto.
L’ipotesi è che il virus stia infettando computer Windows in giro per il mondo da diverso tempo. Secondo una recente analisi del servizio online Virus Total, che permette di cercare virus nei propri file, solo quattro su 61 programmi antivirus erano in grado di rilevarne la presenza. I computer infettati dal virus chiedono a chi lo sta usando di pagare 300 dollari (266 euro) a un conto Bitcoin e poi di mandare una email a un indirizzo di posta Posteo (un servizio di email tedesco che non registra l’indirizzo IP dei visitatori e ne cifra la connessione): nella email bisogna indicare i dati del proprio portafoglio Bitcoin e un proprio documento identificativo. Secondo The Verge il conto su cui Petrwrap chiede di versare il denaro ha raccolto 2.300 dollari per ora; non si sa però se dopo i pagamenti avvenuti i computer delle persone che li hanno fatti siano stati sbloccati.
Non si sa ancora quanto il virus si sia diffuso e se, come WannaCry, sfrutti difetti poco conosciuti dei sistemi operativi dei computer. Secondo alcune società di sicurezza informatica, come Payload Security e Avira, il virus sfrutta lo stesso problema di alcuni sistemi operativi Windows utilizzato da WannaCry. È una falla di un protocollo per la gestione condivisa dei file battezzata EternalBlue. Dopo l’attacco informatico dello scorso mese Microsoft ha diffuso un aggiornamento per rimediare, anche per i sistemi operativi che aveva smesso di aggiornare (come XP), ma i computer non aggiornati sono ancora vulnerabili. Molti non sono stati aggiornati perché molte aziende non possono permettersi, per ragioni organizzative, di riavviarne in gran numero contemporaneamente.
Pingback:Petya è davvero un ransomware o punta solo a fare danni? – Blog DT3 Servizi Informatici