Kaspersky Lab

 

Comunicato Stampa

14.03.2017

Kaspersky Lab scopre PetrWrap: i criminali rubano il codice dei ransomware ai loro “colleghi”

Il nuovo ransomware conduce attacchi mirati contro le aziende

Roma, 14 marzo 2017

I ricercatori di Kaspersky Lab hanno scoperto PetrWrap, una nuova famiglia di malware che sfrutta il modulo originale del ransomware Petya, diffusa tramite una piattaforma Ransomware-as-a-Service per condurre attacchi mirati contro le aziende. Gli sviluppatori di PetrWrap hanno creato un modulo speciale che modifica il ransomware Petya originale, lasciando i suoi creatori impotenti di fronte all’uso non autorizzato del loro malware. Questo potrebbe essere il segno di una crescente competizione nel mercato nero dei ransomware.

 

A maggio 2016 Kaspersky Lab ha scoperto il ransomware Petya, che non si limita a criptare i dati memorizzati sul computer ma sovrascrive anche il master boot record (MBR) del disco rigido, impedendo ai computer infetti di avviare il sistema operativo. Questo malware è un noto esempio del modello Ransomware-as-a-Service: gli sviluppatori del ransomware offrono “su richiesta” il loro prodotto dannoso, diffondendolo attraverso diversi distributori e ottenendo una parte dei profitti. Per poter guadagnare, gli sviluppatori di Petya hanno inserito alcuni “meccanismi di protezione” nel loro malware che non permettono l’uso non autorizzato dei sample Petya. Gli sviluppatori del trojan PetrWrap, le cui attività sono state scoperte all’inizio del 2017, sono riusciti a superare questi meccanismi e hanno trovato un modo per usare Petya senza dover pagare i suoi sviluppatori.

 

Non è ancora chiaro come venga distribuito PetrWrap. Dopo l’infezione, il malware avvia Petya, che cripta i dati delle vittime, e richiede un riscatto. Gli sviluppatori di PetrWrap usano le loro chiavi di crittografia, pubbliche e private, al posto di quelle incluse nel “pacchetto” di Petya, riuscendo ad agire senza aver bisogno di una chiave privata da parte degli sviluppatori di Petya per decriptare il dispositivo della vittima nel caso in cui venga pagato il riscatto.

 

È evidente che non è una coincidenza se gli sviluppatori di PetrWrap hanno scelto Petya per le loro attività nocive: questa famiglia di ransomware ha un algoritmo di crittografia impeccabile, difficile da superare – la caratteristica più importante di ogni ransomware criptatore. Diverse volte, in passato, gli errori di crittografia hanno permesso ai ricercatori di sicurezza di trovare un modo per decriptare i file e vanificare gli sforzi impiegati dai criminali nelle loro campagne nocive. Questa situazione si è verificata anche con le versioni precedenti di Petya ma gli sviluppatori hanno rimediato a quasi tutti gli errori e ora, quando viene attaccato dall’ultima versione di Petya, il dispositivo colpito viene criptato in maniera affidabile. Ecco perché gli autori di PetrWrap hanno deciso di usarlo per le loro attività. Inoltre, la schermata di blocco mostrata alle vittime di PetrWrap non fa alcun riferimento a Petya, rendendo più difficile per gli esperti di sicurezza valutare la situazione e identificare velocemente quale famiglia di ransomware sia stata usata.

 

“Abbiamo notato che i cyber criminali hanno iniziato a combattersi a vicenda. Dal nostro punto di vista, questo è un segno della crescente competizione tra i criminali che diffondono ransomware. In teoria, questo è un bene: maggiore è il tempo che i gruppi criminali trascorrono a combattersi e ingannarsi a vicenda, meno saranno organizzati e meno efficaci saranno le loro campagne nocive. In questo caso l’aspetto preoccupante è che PetrWrap viene usato per attacchi mirati. Non si tratta del primo caso di attacchi ransomware mirati e sfortunatamente non sarà l’ultimo. Invitiamo le aziende a prestare più attenzione possibile alla protezione delle loro reti da questo tipo di minacce, in quanto le conseguenze possono essere davvero disastrose”, ha commentato Anton Ivanov, Senior Security Research, Anti-Ransom, di Kaspersky Lab.

 

Per difendere le aziende da questi attacchi, gli esperti di sicurezza di Kaspersky Lab consigliano di:

 

·         Eseguire periodicamente un adeguato backup dei propri dati, in modo da poter ripristinare i file originali dopo un’eventuale perdita.

·         Usare una soluzione di sicurezza con tecnologie di rilevamento basate sul comportamento. Queste tecnologie possono rilevare i malware, inclusi i ransomware, osservando come operano sul sistema attaccato e permettendo di identificare sample nuovi e ancora sconosciuti di ransomware.

·         Condurre una valutazione di sicurezza della rete di controllo (ad esempio audit di sicurezza, test di penetrazione e gap analysis) per identificare e rimuovere ogni vulnerabilità. È inoltre necessario rivedere le policy di sicurezza dei vendor esterni e delle terze parti in caso abbiano accesso diretto alla rete di controllo.

·         Richiedere un’intelligence esterna: l’intelligence di vendor affidabili aiuta le aziende a prevedere gli attacchi futuri all’azienda.

·         Educare i dipendenti, in particolare lo staff operativo e ingegneristico e verificare che siano a conoscenza delle minacce più attuale e degli attacchi recenti.

·         Garantire la protezione all’interno e all’esterno del perimetro dell’azienda. Una strategia di sicurezza appropriata deve dedicare molte risorse al rilevamento e alla risposta agli attacchi per bloccarli prima che raggiungano obiettivi d’importanza cruciale.

 

Per saperne di più su PetrWrap, è possibile leggere il blog post su Securelist.com

 

Per scoprire gli strumenti sviluppati da Kaspersky Lab per aiutare le vittime dei ransomware, è possibile visitare NoRansom.Kaspersky.com

 

 

 

Informazioni su Kaspersky Lab       

Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://plus.google.com/+KasperskyItKL

https://www.linkedin.com/kasperskylabitalia

 

 

Contatto di redazione:

Noesis

      KasperskyLab Italia

Cristina Barelli, Chiara Degradi e Silvia Pasero

      Alessandra Venneri

cristina.barelli@noesis.net

chiara.degradi@noesis.net

silvia.pasero@noesis.net

      Alessandra.venneri@kaspersky.it

02/8310511

     06 58891031 - 3351980618

Via Savona, 19/A

     Via F. Benaglia 13

Milano

     Roma

Contatto per la Stampa

Alessandra Venneri

Inviare e-mail

Tel. +39-(06)58 891-3531
Fax +39-(06)58 14 168

Kaspersky Lab on the Web

Virus Analyst Blogs