Dopo Wannacry è arrivato il Ransomware Petya: grossi problemi soprattutto nei paesi dell'est
Costin Raiu, direttore di Global Research per Kaspersky Labs, riferisce che l'odierno ransomware ha colpito maggiormente l'Ucraina, e a seguire la Russa, sono stati riscontratri anche casi in Polonia, Italia e Germania
di Andrea Bai, Carlo Pisani pubblicata il 28 Giugno 2017, alle 09:18 nel canale SicurezzaDopo l'attacco del mese scorso basato sul ransomware WannaCry, nelle ore passate è avvenuto un altro importante attacco basato su una variante del già noto rasomware Petya/Petrwrap. Costin Raiu, direttore di Global Research per Kaspersky Labs, riferisce che l'odierno ransomware ha colpito maggiormente l'Ucraina, e a seguire la Russa, sono stati riscontratri anche casi in Polonia, Italia, Spagna, Francia, Germania, India e Stati Uniti.
L'attacco è stato pssibile sfruttando EternalBlue, un exploit sviluppato, usato ed infine sottratto dalla National Security Agency. Secondo Kaspersky, l'attacco avvenuto nel tardo pomeriggio di ieri ha sfruttato anche un altro exploit chiamato EternalRomance. E' bene osservare che le vulnerabilità su cui fanno leva EternalBlue ed EternalRomance sono state risolte con una patch rilasciata da Microsoft già nel corso del mese di marzo, poco prima che il famigerato collettivo ShadowBrokers rilasciasse al pubblico gli strumenti di hacking sottratti all'NSA.
Durante l'attacco avvenuto ieri è stato usato anche lo strumento di hacking Mimikatz per l'estrazione di password da altri computer presenti sulla rete del sistema infetto, così da poter utilizzare le credenziali per utilizzare PSExec, un componente di Windows conosciuto con il nome di Windows Management Instrumentation allo scopo di infettare altre macchine, anche quelle non vulnerabili ad EternalBlue o a EternalRomance. In alcuni casi sembra inoltre che sia stato sfruttato il sistema di aggiornamento automatico di un software ucraino conosciuto con il nome di MeDoc, che è stato compromesso dal malware che ha preso il controllo del sistema che invia gli aggiornamenti agli utenti finali.
Secondo le analisi di Kaspersky, del gruppo Talos di Cisco e di Eset, sembra che MeDoc sia il punto di partenza dal quale ha preso il via l'infezione globale. La stessa MeDoc sul proprio sito web ha pubblicato un avvertimento piuttosto vago e stringato affermando "Attenzione! I nostri server hanno effettuao un attacco virus. Ci scusiamo per l'inconveniente". Una dichiarazione che in molti hanno interpretato come un'ammissione di colpevolezza, anche se una forma comunicativa di questo genere è piuttosto inusuale per un comunicato ufficiale. I rappresentati di MeDoc, inoltre, hanno dichiarato su Facebook che la società non è stata coinvolta.
Una volta che il sistema viene infettato, lascia trascorrere un tempo variabile tra i 10 e i 60 minuti prima di effettuare un reboot. I ricercatori di sicurezza affermano che per cercare di prevenire la compromissione del sistema potrebbe essere sufficiente spegnerlo prima che venga effettuato il reboot (ovviamente nel caso si abbia la consapevolezza di essere stati compromessi) e di mettersi nelle mani di un esperto di sicurezza che sappia come riavviare la macchina contenendo l'infezione.
A farne le spese sono stati, almeno stando alle informazoni note fino ad ora, oltre 12 mila computer. In Ucraina il ransomware ha paralizzato banche e il sistema elettrico di città come Ukrenego e Kyivenergo, anche l'aeroporto e la metropolitana di Kiev sono stati interessati dall'attacco.
La compagnia di spedizioni e di energia Danese Maersk
è stata anch'essa colpita, e ha fornito il seguente messaggio attraverso il suo
sito web:
"Possiamo confermare che i sistemi informatici Maersk sono bloccati a causa
di un attacco informatico. Continuiamo a valutare la situazione. La sicurezza
per i nostri dipendenti e per le operazioni di business dei nostri cliente sono
la nostra priorità. Vi aggiorneremo quando avremo ulteriori informazioni"
Altre notizie di attacchi ransomware sono state segnalate in tutta la Russia e nel Regno Unito. Petya ha raggiunto anche gli Stati Uniti interessando ad esempio il noto studio legale DLA Piper Global il quale riferisce che i propri computer e sistemi telefonici sono stati bloccati per la maggior parte della giornata. Anche la multinazionale alimentare Mondelez International è stata colpita.
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDISINNESCARE L'attivazione di Petya
Ciao,il ricercatore di sicurezza Amit Serper ha trovato il modo per disabilitare il nuovo Ramsonware Petya.
Per farlo basta copiare un file chiamato perfc, senza estensione, nella cartella C:\Windows.
Se il Ramsonware trova questo file crederà che il sistema sia già stato infettato e si disabiliterà.
riferimenti: https://www.cybereason.com/...
seguite questa guida,
ed è buona cosa installare anche il tool Cybereason RansomFree,
utility gratuita che blocca i ramsonware intercettandoli all'attivazione,
wannacry compreso
Era così faticoso tenere gli aggiornamenti automatici abilitati???
Era così faticoso tenere gli aggiornamenti automatici abilitati???
Non è possibile ne consigliabile, in ambito enterprise, utilizzare gli aggiornamenti automatici di Microsoft.
Aggiungo, nelle aziende dove il core business non è l'IT, la sicurezza informatica (sopratutto in italia) funziona più o meno così "prevenzione minima, se qualcosa si rompe interveniamo con urgenza, per poi ripristinare i flussi standard una volta terminato il problema".
Tra la teoria e la realtà c'è in mezzo un mondo di teste (non IT) che non permette che tutto funzioni come dovrebbe.
Non c'è alcuna differenza fra ambito enterprise e home, sono aggiornamenti importanti che vanno installati. A maggior ragione se si parla di aggiornamenti di sicurezza, i quali dovrebbero essere distribuiti automaticamente su tutte le macchine non appena si rendono disponibili!
Non lo fai? Alla paga il riscatto e taci!
Sono anni che qualsiasi servizio (a maggior ragione di target enterprise) è configurabile in cluster, in particolare su OS Windows con il classico giochino del cluster active/passive (che a onor del vero su Windows funziona piuttosto bene) implementabile praticamente in ogni scenario per garantire continuità di servizio.
Basta giocare un po' con le group policy per evitare riavvi simultanei dei nodi e limitarli alle ore di basso carico.
Questa scusa ormai non regge più, viene spesso tirata fuori quando si cerca una scusa per non effettuare un reboot per paura che qualche servizio non funzioni a dovere (almeno questo è lo scenario tipico che ho trovato da tanti clienti), senza considerare che più si aspetta e più questo timore (spesso infondato) continuerà a ingigantirsi all'infinito.
Non lo fai? Alla paga il riscatto e taci!
https://support.office.com/en-us/ar...US&fromAR=1
Giusto per citare l'ultimo.
Se per te non c'è alcuna differenza, vuol dire che evidentemente non lavori nel settore.
Sono anni che qualsiasi servizio (a maggior ragione di target enterprise) è configurabile in cluster, in particolare su OS Windows con il classico giochino del cluster active/passive (che a onor del vero su Windows funziona piuttosto bene) implementabile praticamente in ogni scenario per garantire continuità di servizio.
Basta giocare un po' con le group policy per evitare riavvi simultanei dei nodi e limitarli alle ore di basso carico.
Questa scusa ormai non regge più, viene spesso tirata fuori quando si cerca una scusa per non effettuare un reboot per paura che qualche servizio non funzioni a dovere (almeno questo è lo scenario tipico che ho trovato da tanti clienti), senza considerare che più si aspetta e più questo timore (spesso infondato) continuerà a ingigantirsi all'infinito.
E lo dici a me? Rileggiti il mio commento e non limitarti solo alla prima frase, ma anche a quanto scritto dopo.
Detto questo, le procedure di rollback, snapshot delle VM, backup e ambienti di test esistono, ma RICHIEDONO TEMPO.
I cluster sono anche obsoleti, visto che il numero delle macchine fisiche si è ridotto drasticamente.
Si preferisce, in ambito enterprise (e parlo di grosse aziende), attendere, controllare le singole patch una per una (ce ne sono alcune di MS [RISOLTE SOLO A GIUGNO, da Aprile] che piantano casino con dei notebook HP con CPU Carrizo e ddr4, mi metto poi a disinstallare patch su xmila utenti?) e poi decidere quando e come, rispettando le direttive del business, deployare e riavviare.
Non parliamo poi di ambienti di produzione, dove esistono ancora macchine con windows XP perchè il fornitore X del software Y non esiste più e quindi non è possibile aggiornare l'OS, o di server critici in ambienti produttivi H24 ad alto rischio.
Io non so che lavoro facciate voi, ma funziona così, che vi piaccia o meno, funziona così.
Gli altri vivono in un mondo fittizio.
Anche noi siamo nella stessa sistuazione di Epoc_MDM solo che non abbiamo xp ma server 2003.
Teoria teopria teoria..
Poi finisci l'università vai a lavorare e boom!!
saluti
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".