Secondo le ultime analisi, il virus trasmesso durante il cyber-attacco dei giorni scorsi, non sarebbe il “Petya” utilizzato come “Ransomware”, bensì come “Wiper malware”. Questa tipologia di virus distrugge completamente i file presenti nel hard disk, senza dare la possibilità di recuperarli; quindi si consiglia di NON pagare assolutamente eventuali ricatti in quanto è impossibile riavere indietro i dati.
Secondo i ricercatori di ESET, produttore europeo di software per la sicurezza digitale, l’Italia è stato il secondo paese più danneggiato dal virus “Petya” diffuso nei giorni scorsi durante un nuovo cyber-attacco, dietro al quale potrebbe esserci la Russia come ha affermato il Ministro degli Esteri ucraino, Pavlo Klimkin. In Ucraina sono state al momento segnalate il 78% delle rilevazioni, in Italia il 10% e a seguire ci sono Israele (5%), Serbia (2%), e poi Romania, Stati Uniti, Lituania e Ungheria con l’1%.
Sempre secondo ESET, la fonte di diffusione potrebbe essere stato il sistema di update automatico di MeDoc, un software per la contabilità molto usato dalle aziende ucraine tra cui istituzioni finanziarie, aeroporti e metropolitane.
Anche se al momento resta soltanto un’ipotesi, potrebbe essere il virus “Petya” (o un suo ceppo) il responsabile dei danni causati dal cyber-attacco dei giorni scorsi. Il Petya è un ransomware: una tipologia di virus che cripta i dati di computer e sistemi informatici e che chiede alle vittime dei pagamenti in Bitcoin in cambio della chiave di decifrazione.
Questo virus è comparso per la prima volta nel 2016 e si distingue per bloccare non solo i singoli file ma l’intero hard disk. Secondo un esperto interpellato dalla BBC, Chris Wysopal di Veracode, il virus pare propagarsi sfruttando falle di Windows simili a quelle sfruttate da WannaCry, cioè, una vulnerabilità di un protocollo di condivisione di file di rete, SMB (Server Message Block), usato da questo sistema operativo.
Proprio come WannaCry, che a maggio ha bloccato i sistemi informatici di oltre 150 Paesi, anche Petya userebbe EternalBlue, uno strumento rubato all’NSA, l’Agenzia Nazionale per la Sicurezza negli Stati Uniti. EternalBlue è un codice d’attacco, in gergo “exploit”, diffuso online la scorsa estate dal gruppo noto come Shadow Brokers, che diceva di aver rubato una serie di attacchi informatici dell’NSA.
Diverse società di sicurezza hanno individuato questo virus come responsabile; mentre la Kaspersky Lab ha espresso dei dubbi, indicando che il virus incriminato non sarebbe stato Petya ma un nuovo tipo di malware (software malevolo) mai visto prima, che gli esperti hanno denominato “NotPetya”.