Ci risiamo. Dopo l’attacco di WannaCry dello scorso maggio, un altro massiccio attacco ransomware si sta diffondendo a macchia d’olio. Questa volta l’azione sarebbe partita dall’Ucraina, dove sono segnalate interessate dall’infezione aziende, centrali elettriche, società di telecomunicazione e i sistemi di monitoraggio della centrale nucleare di Chernobyl. Il ransomware ha colpito anche Francia, Norvegia, Spagna, Olanda, Danimarca, India e altri paesi. Le prime analisi, rileverebbero quale responsabile una nuova versione di Petya, un ransomware già conosciuto che non prende di mira i file delle vittime, ma blocca il computer crittografando il Master Boot Record (MBR), impedendo l’avvio del PC. Il malware visualizza poi una schermata con la richiesta di riscatto di 300 dollari in Bitcoin. Secondo i ricercatori potrebbe essere una versione modificata in modo da sfruttare la vulnerabilità del Service Message Block (SMB) di Windows presa di mira da WannaCry e derivata dal tool di hacking EternalBlue, sviluppato dall’NSA e distribuito su Internet dal gruppo hacker Shadow Brokers. La brutta notizia,inoltre, è che ci siano ancora migliaia di PC vulnerabili, soprattutto in ambito aziendale, dove gli aggiornamenti vengono fatti con tempi più lunghi rispetto al settore consumer. L’ipotesi è che il virus stia infettando computer Windows in giro per il mondo da diverso tempo. Secondo una recente analisi del servizio online Virus Total, che permette di cercare virus nei propri file, solo quattro su 61 programmi antivirus erano in grado di rilevarne la presenza. I computer infettati dal virus chiedono a chi lo sta usando di pagare 300 dollari (266 euro) a un conto Bitcoin e poi di mandare una email a un indirizzo di posta Posteo (un servizio di email tedesco che non registra l’indirizzo IP dei visitatori e ne cifra la connessione): nella email bisogna indicare i dati del proprio portafoglio Bitcoin e un proprio documento identificativo. Secondo The Verge il conto su cui Petrwrap chiede di versare il denaro ha raccolto 2.300 dollari per ora; non si sa però se dopo i pagamenti avvenuti i computer delle persone che li hanno fatti siano stati sbloccati.
