Il temibile WannaCry, attacco protagonista delle cronache di sicurezza degli ultimi mesi per via della sua dilagante diffusione, ha un successore: il ransomware Petna, che ad una prima analisi da parte di alcuni esperti di Bleeping Computer sembrerebbe essere addirittura più nocivo ed evoluto. Nonostante fino a poche ore fa fosse stato scambiato per Petya, un altro cyber attacco di notevole potenza, o imparentato con esso, Petna rappresenta un ransomware di nuova generazione completamente differente rispetto a quanto visto fino ad oggi.
Secondo le prime stime di Kaspersky Labs, il ransomware Petna ha già colpito migliaia di bersagli, diffusi in Europa (Germania, Francia, Italia) così come negli Stati Uniti e nell’Europa dell’Est. All’origine dell’attacco pare ci sia un colpo grosso da parte di alcuni cyber pirati ai danni di M.E.Doc, un software di produttività particolarmente diffuso in Ucraina. Le funzioni di update dell’applicazione sarebbero state compromesse a causa dell’iniezione di codice malevolo, che permetterebbe ad ogni copia del software di propagare il ransomware Petna tramite una rete locale.
Sono state comunque rilevati rapporti diretti tra catene di spam e diffusione del ransomware, e soprattutto l’exploit su cui Petna è basato. Si tratta di uno strumento a disposizione della NSA chiamato “EternalRomance”, che coopera assieme ad uno strumento di recupero delle chiavi di accesso ad una LAN locale per accedere ai PC della rete a cui il vettore dell’infezione appartiene. Dopo il riavvio di sistema, il ransomware Petna lancia una cifratura della Master File Table (presente sulla partizione NFTS del disco) sovrascrivendo il Master Boot Record con un tool di avvio modificato.
Il miglior suggerimento attualmente disponibile per evitare Petna consiste nell’aggiornare tutte le patch per sistemi Windows, oppure seguire il breve vademecum pubblicato online da Bleeping Computer, che proporrebbe una soluzione per rendere refrattario il sistema ad ulteriore infezioni, in attesa di ulteriori informazioni su quello che sembra essere il ransomware dell’estate.