Il mondo sta conoscendo in queste ore il successore di Wannacry. Si chiama Petya e, come il primo ransomware diffusosi a maggio, sta colpendo con le stesse modalità soprattutto l’Ucraina. Il programma maligno, che cifra i file dei computer infettati e chiede in riscatto 300 dollari in bitcoin per sbloccarli, sembra essere partito dalla Russia e finora è riuscito a entrare nei sistemi informatici del governo ucraino, oltre che della metro e dell’aeroporto di Kiev, di negozi della catena Auchan presenti nel Paese, di alcuni operatori di telecomunicazioni e della banca Privatbank. Sarebbe coinvolta anche la centrale nucleare di Chernobyl. Secondo l’agenzia nazionale che gestisce la zona contaminata dall’incidente del 1989, sarebbero ancora regolarmente in funzione i sistemi interni del sito, mentre sarebbero fuori uso quelli atti a monitorare i livelli di radiazione degli impianti.
Ma Petya si è diffuso anche ben al di fuori dell’Ucraina. Oltre alle aziende già citate risultano colpiti anche colossi come la danese Maersk (trasporto marittimo), la società britannica di pubblicità Wpp e la francese Saint-Gobain. Secondo la società di sicurezza Group-Ib, inoltre, il ransomware si sarebbe fatto strada anche in Russia, infettando i Pc della compagnia petrolifera di stato Rosneft, della controllata Bashneft e di aziende come Mars e Nivea.
“Credo non ci sia nessun dubbio: dietro a questi 'giochetti' c’è la Russia perché questa è la manifestazione di una guerra ibrida”, ha attaccato il consigliere del ministro dell'Interno ucraino Zoryan Shkiriak, parlando all’emittente nazionale 112.
Nei giorni scorsi erano circolati report su una presunta cyberarma, sviluppata da hacker al soldo del Cremlino, in grado di attaccare i sistemi Scada e le infrastrutture critiche dei Paesi, comprese quelle degli Stati Uniti. Il programma maligno sarebbe stato testato nei mesi scorsi, in forme diverse, sulle reti dell’Ucraina: i rapporti fra Kiev e Mosca sono tesi dalle manifestazioni di piazza del 2013 contro l’ex presidente filorusso Viktor Janukovyč.
Secondo Symantec l’attacco sarebbe stato condotto sfruttando lo stesso exploit di Wannacry, vale a dire quell’Eternal Blue sviluppato dalla National Security Agency statunitense e finito online nei mesi scorsi, che utilizza una storica vulnerabilità del protocollo Smb nei sistemi operativi Windows. Un bug risolto solo di recente da Microsoft, ma a quanto pare la patch non è stata applicata da tutti.