Immagine: Shutterstock
Martedì, un numero consistente di imprese private avrebbe subito degli attacchi ransomware. Per quanto non sia chiaro se i casi siano connessi in qualche modo tra loro, almeno alcuni di loro sembrano essere accomunati dallo stesso tipo di malware.Gli attacchi ricordano per certi versi la recente esplosione di WannaCry, in cui migliaia di sistemi informatici sono stati presi in ostaggio con un ransomware solo in giro per il mondo.Motherboard ha notato diversi report di infezione condivisi dalle vittime su Twitter. Non abbiamo potuto confermare immediatamente la veridicità dei report, ma anche alcuni ricercatori in sicurezza e aziende di settore hanno riportato gli attacchi."Stiamo notando svariate migliaia di tentati attacchi al momento, simili per dimensione a quanto successo nelle prime ore di WannaCry," ha detto a Motherboard via chat Costin Raiu, un ricercatore in sicurezza del Kaspersky Lab.A giudicare dalle foto postate su Twitter e dalle immagini fornite dalle fonti, molti dei presunti attacchi coinvolgono un pezzo di ransomware che fa comparire del testo rosso su schermo nero, e chiede 300 dollari in bitcoin."Se stai vedendo questa schermata di testo, significa che non hai più accesso ai tuoi file, perché sono stati criptati," si legge, stando a una delle foto. "Magari ti stai impegnando per trovare un modo per recuperarli, ma non sprecare tempo. Nessuno può recuperare i tuoi file senza un servizio di decrittografia."Stando a un tweet pubblicato dall'azienda di anti-virus Avira, gli attacchi Petya avrebbero sfruttato l'exploit EternalBlue già portato alla luce dal gruppo noto come The Shadow Brokers (Motherboard non ha potuto confermare in modo indipendente questa informazione, al momento della stesura del pezzo). EternalBlue è lo stesso exploit usato negli attacchi WannaCry; sfrutta una vulnerabilità nel protocollo di data-transfer SMB, e, da allora, Microsoft ha fornito una patch ai suoi utenti per risolvere il problema. Che poi le persone abbiano o meno usato la patch è tutto un'altra questione.
La rivista spagnola El Confidencial ha riportato la notizia che gli hacker hanno colpito l'ufficio di Madrid di DLA Piper, uno studio legale. Una persona informata dell'attacco ha inviato a Motherboard una foto di un computer infetto che dovrebbe trovarsi nell'ufficio di DLA Piper di Washington DC, sostenendo che è stato richiesto ai dipendenti di lasciare le loro postazioni di lavoro (nessuno degli uffici ha risposto ai nostri primi tentativi di contatto telefonico.)Gli hacker hanno anche attaccato una media company ucraina, secondo un report locale di 24tv, una delle sedi dell'azienda.Gli hacker che controllano l'account di posta elettronica riportato nel messaggio del ransomware non hanno ancora risposto alle nostre richieste di commento.I ricercatori di sicurezza deli Kaspersky Lab hanno riferito che il ransomware ha colpito, tra gli altri, la Russia, l'Ucraina, la Spagna e la Francia. Su Twitter, in molti hanno fornito testimonianze o segnalazioni di episodi avvenuti nei rispettivi paesi e in molti altri settori. Le aziende di tutto il mondo hanno anche riportato malfuzionamenti ai computer.Chris Sistrunk, un ricercatore di sicurezza della Mandiant, ha dichiarato che sembra che ci sia in corso "un altro attacco globale."Aggiorneremo questa storia ogni volta che verremo a conoscenza di nuovi dettagli.
Pubblicità
Raiu crede che il ceppo di ransomware sia noto come Petya o Petrwrap, un esemplare ben noto, a quanto pare. I ricercatori del MalwareHunterTeam, un gruppo di ricerca che si concentra sui ransomware, hanno detto a Motherboard in un messaggio diretto su Twitter che, a loro avviso, l'attacco sembra provenire dalla stessa famiglia di malware identificata da Raiu. Come altri tipi di ransomware, il malware di martedì cripta i file sul sistema di un utente; gli hacker dicono che daranno la chiave di decrittografia alle vittime, in cambio di bitcoin.
Pubblicità