Non è già più Petya. Talos, il dipartimento di Intelligence sulle minacce informatiche e laboratorio di ricerca sulla sicurezza informatica di Cisco, ha chiamato Nyetya la variante dell’ultimo attacco di ransomware globale che, iniziato in Ucraina, si sta svolgendo in tutto il mondo e in particolare in Europa.
I ricercatori di Talos segnalano attacchi importanti in Francia, Danimarca, Spagna, Regno Unito, Russia e Stati Uniti, mentre l’origine sarebbe da ricercare in Ucraina, nei sistemi di aggiornamento software di un pacchetto contabile fiscale ucraino chiamato MeDoc.
Cisco Talos, che come altre realtà sta indagando attivamente sull’attacco, sta aggiornando regolarmente questo blog evidenziando come l’aspetto più innovativo e inquietante del nuovo ransomware sia il suo modus operandi.
Nyetya entra, infatti, nel sistema e utilizza tre modi per diffondersi automaticamente in una rete, uno dei quali è la nota vulnerabilità Eternal Blue, simile a quanto è avvenuto con l’attacco WannaCry del mese scorso.
Inoltre, la nuova variante crittografa il master boot record (MBR) di un sistema, ossia la sequenza di comandi/istruzioni necessarie all’avvio del sistema operativo, che risulta, naturalmente, di primaria importanza.
Come sottolineato a livello internazionale e confermato da Stefano Volpi, Practice Leader per l’Italia e GSSO di Cisco: «Quello che emerge da questo attacco è che le aziende di ogni dimensione e settore, pubbliche e private, devono dare priorità alle patch dei sistemi per abbassare il loro profilo di rischio. Dobbiamo affrontare queste vulnerabilità il più rapidamente possibile. Inoltre, fare backup dei dati importanti è fondamentale e va introdotto in qualsiasi processo di security».
Per aiutare le aziende a combattere la minaccia ransomware, Cisco ha definito un approccio architetturale per la difesa contro il ransomware, la soluzione Ransomware Threat Defense, per rafforzare la protezione con rilevazione, visibilità e intelligenza.
