Aviraha analizzato Petya, scoprendo che il temibile ransomware non usa solamente l’exploit EternalBlue, ma contiene anche la backdoor DoublePulsar di NSA.
Negli ultimi giorni, un nuovo temibile attacco ransomware ha colpito moltissime aziende e organizzazioni in tutto il mondo. La lista delle vittime di Petya include il colosso dei trasporti marittimi Maersk e i sistemi di rilevazione delle radiazioni dell’impianto nucleare di Chernobyl. Questa nuova ondata di attacchi ransomware sembra avere come obiettivo l’Ucraina, ma le nuove tattiche utilizzate dai cyber-criminali sono un segnale d’allarme per chiunque utilizzi un computer. Questa volta, infatti, l’obiettivo del malware non sono soltanto gli utenti che utilizzano un software obsoleto.
Avira Protection Lab ha raccolto tre varianti del ransomware nella giornata del 27 giugno, scoprendo, tra le altre cose, che Petya non usa solo l’exploit EternalBlue, già noto per l’attacco WannaCry, ma contiene anche la backdoor DoublePulsar di NSA.
Come proteggersi: i consigli di Avira
Per difendersi è prima di tutto necessario avere tutti gli aggiornamenti installati sul computer. Dal momento che Petya sta utilizzando un exploit, il dispositivo viene infettato senza alcuna interazione da parte dell’utente, che non deve aprire o cliccare nulla. Mentre alcuni aggiornamenti sono automatici, altri devono essere ricercati e scaricati direttamente dagli utenti. Tuttavia, molte persone, per diversi motivi, finiscono per non aggiornare i loro dispositivi regolarmente, mettendone a rischio la sicurezza.
Pensando a questa vulnerabilità, Avira offre una versione gratuita di Software Updater, per migliorare la sicurezza degli utenti e la versione premium Software Updater Pro per rendere automatico l’intero processo di aggiornamento.
Matthias Ollig, CTO, Avira Abbiamo rilevato tutti i campioni, e lo abbiamo fatto senza la necessità di aggiornare la nostra componente di machine learning NightVision. Dopo aver decriptato completamente il Trojan abbiamo inoltre scoperto che non usa solamente l’exploit EternalBlue, ma contiene anche la backdoor DoublePulsar di NSA. Siamo sorpresi nel vedere come dopo la debacle di WannaCry, ci siano ancora così tante macchine connesse a Internet che non sono provviste degli ultimi aggiornamenti della sicurezza di Windows, specialmente in ambienti critici.
