Dopo Wannacry è arrivato il Ransomware Petya: grossi problemi soprattutto nei paesi dell'est

Dopo Wannacry è arrivato il Ransomware Petya: grossi problemi soprattutto nei paesi dell'est

Costin Raiu, direttore di Global Research per Kaspersky Labs, riferisce che l'odierno ransomware ha colpito maggiormente l'Ucraina, e a seguire la Russa, sono stati riscontratri anche casi in Polonia, Italia e Germania

di Andrea Bai, Carlo Pisani pubblicata il , alle 09:18 nel canale Sicurezza
 

Dopo l'attacco del mese scorso basato sul ransomware WannaCry, nelle ore passate è avvenuto un altro importante attacco basato su una variante del già noto rasomware Petya/Petrwrap. Costin Raiu, direttore di Global Research per Kaspersky Labs, riferisce che l'odierno ransomware ha colpito maggiormente l'Ucraina, e a seguire la Russa, sono stati riscontratri anche casi in Polonia, Italia, Spagna, Francia, Germania, India e Stati Uniti.

L'attacco è stato pssibile sfruttando EternalBlue, un exploit sviluppato, usato ed infine sottratto dalla National Security Agency. Secondo Kaspersky, l'attacco avvenuto nel tardo pomeriggio di ieri ha sfruttato anche un altro exploit chiamato EternalRomance. E' bene osservare che le vulnerabilità su cui fanno leva EternalBlue ed EternalRomance sono state risolte con una patch rilasciata da Microsoft già nel corso del mese di marzo, poco prima che il famigerato collettivo ShadowBrokers rilasciasse al pubblico gli strumenti di hacking sottratti all'NSA.

Durante l'attacco avvenuto ieri è stato usato anche lo strumento di hacking Mimikatz per l'estrazione di password da altri computer presenti sulla rete del sistema infetto, così da poter utilizzare le credenziali per utilizzare PSExec, un componente di Windows conosciuto con il nome di Windows Management Instrumentation allo scopo di infettare altre macchine, anche quelle non vulnerabili ad EternalBlue o a EternalRomance. In alcuni casi sembra inoltre che sia stato sfruttato il sistema di aggiornamento automatico di un software ucraino conosciuto con il nome di MeDoc, che è stato compromesso dal malware che ha preso il controllo del sistema che invia gli aggiornamenti agli utenti finali.

Secondo le analisi di Kaspersky, del gruppo Talos di Cisco e di Eset, sembra che MeDoc sia il punto di partenza dal quale ha preso il via l'infezione globale. La stessa MeDoc sul proprio sito web ha pubblicato un avvertimento piuttosto vago e stringato affermando "Attenzione! I nostri server hanno effettuao un attacco virus. Ci scusiamo per l'inconveniente". Una dichiarazione che in molti hanno interpretato come un'ammissione di colpevolezza, anche se una forma comunicativa di questo genere è piuttosto inusuale per un comunicato ufficiale. I rappresentati di MeDoc, inoltre, hanno dichiarato su Facebook che la società non è stata coinvolta.

Una volta che il sistema viene infettato, lascia trascorrere un tempo variabile tra i 10 e i 60 minuti prima di effettuare un reboot. I ricercatori di sicurezza affermano che per cercare di prevenire la compromissione del sistema potrebbe essere sufficiente spegnerlo prima che venga effettuato il reboot (ovviamente nel caso si abbia la consapevolezza di essere stati compromessi) e di mettersi nelle mani di un esperto di sicurezza che sappia come riavviare la macchina contenendo l'infezione.

A farne le spese sono stati, almeno stando alle informazoni note fino ad ora, oltre 12 mila computer. In Ucraina il ransomware ha paralizzato banche e il sistema elettrico di città come Ukrenego e Kyivenergo, anche l'aeroporto e la metropolitana di Kiev sono stati  interessati dall'attacco.

 La compagnia di spedizioni e di energia Danese Maersk è stata anch'essa colpita, e ha fornito il seguente messaggio attraverso il suo sito web:

"Possiamo confermare che i sistemi informatici Maersk sono bloccati a causa di un attacco informatico. Continuiamo a valutare la situazione. La sicurezza per i nostri dipendenti e per le operazioni di business dei nostri cliente sono la nostra priorità. Vi aggiorneremo quando avremo ulteriori informazioni"

Altre notizie di attacchi ransomware sono state segnalate in tutta la Russia e nel Regno Unito. Petya ha raggiunto anche gli Stati Uniti interessando ad esempio il noto studio legale DLA Piper Global il quale riferisce che i propri computer e sistemi telefonici sono stati bloccati per la maggior parte della giornata. Anche la multinazionale alimentare Mondelez International è stata colpita.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Erunoèr28 Giugno 2017, 09:46 #1

DISINNESCARE L'attivazione di Petya

Ciao,
il ricercatore di sicurezza Amit Serper ha trovato il modo per disabilitare il nuovo Ramsonware Petya.
Per farlo basta copiare un file chiamato perfc, senza estensione, nella cartella C:\Windows.
Se il Ramsonware trova questo file crederà che il sistema sia già stato infettato e si disabiliterà.
riferimenti: https://www.cybereason.com/...
seguite questa guida,
ed è buona cosa installare anche il tool Cybereason RansomFree,
utility gratuita che blocca i ramsonware intercettandoli all'attivazione,
wannacry compreso
jepessen28 Giugno 2017, 10:14 #2
Se la gente avesse i backup non ci sarebbero problemi... Purtroppo a livello informatico domestico (ma anche professionale purtroppo) e' ancora merce rara...
tallines28 Giugno 2017, 12:19 #3
Ancora........con sti attacchi.......
yeppala28 Giugno 2017, 15:12 #4
In soldoni la notizia può essere riassunta così: ci sono tanti amministratori di sistema coglioni che non hanno ancora installato gli aggiornamenti di marzo!
Era così faticoso tenere gli aggiornamenti automatici abilitati???
Epoc_MDM28 Giugno 2017, 15:59 #5
Originariamente inviato da: yeppala
In soldoni la notizia può essere riassunta così: ci sono tanti amministratori di sistema coglioni che non hanno ancora installato gli aggiornamenti di marzo!
Era così faticoso tenere gli aggiornamenti automatici abilitati???


Non è possibile ne consigliabile, in ambito enterprise, utilizzare gli aggiornamenti automatici di Microsoft.
Aggiungo, nelle aziende dove il core business non è l'IT, la sicurezza informatica (sopratutto in italia) funziona più o meno così "prevenzione minima, se qualcosa si rompe interveniamo con urgenza, per poi ripristinare i flussi standard una volta terminato il problema".

Tra la teoria e la realtà c'è in mezzo un mondo di teste (non IT) che non permette che tutto funzioni come dovrebbe.
yeppala28 Giugno 2017, 16:31 #6
Originariamente inviato da: Epoc_MDM
Non è possibile ne consigliabile, in ambito enterprise, utilizzare gli aggiornamenti automatici di Microsoft.


Non c'è alcuna differenza fra ambito enterprise e home, sono aggiornamenti importanti che vanno installati. A maggior ragione se si parla di aggiornamenti di sicurezza, i quali dovrebbero essere distribuiti automaticamente su tutte le macchine non appena si rendono disponibili!
Non lo fai? Alla paga il riscatto e taci!
Tasslehoff28 Giugno 2017, 17:01 #7
Originariamente inviato da: Epoc_MDM
Non è possibile ne consigliabile, in ambito enterprise, utilizzare gli aggiornamenti automatici di Microsoft.
Perdonami ma questo è un vecchio adagio che circola dalla notte dei tempi e che risale ai tempi in cui "uptime" era il sacro totem a cui sacrificare ogni cosa, sicurezza in primis.

Sono anni che qualsiasi servizio (a maggior ragione di target enterprise) è configurabile in cluster, in particolare su OS Windows con il classico giochino del cluster active/passive (che a onor del vero su Windows funziona piuttosto bene) implementabile praticamente in ogni scenario per garantire continuità di servizio.
Basta giocare un po' con le group policy per evitare riavvi simultanei dei nodi e limitarli alle ore di basso carico.

Questa scusa ormai non regge più, viene spesso tirata fuori quando si cerca una scusa per non effettuare un reboot per paura che qualche servizio non funzioni a dovere (almeno questo è lo scenario tipico che ho trovato da tanti clienti), senza considerare che più si aspetta e più questo timore (spesso infondato) continuerà a ingigantirsi all'infinito.
Epoc_MDM28 Giugno 2017, 17:03 #8
Originariamente inviato da: yeppala
Non c'è alcuna differenza fra ambito enterprise e home, sono aggiornamenti importanti che vanno installati. A maggior ragione se si parla di aggiornamenti di sicurezza, i quali dovrebbero essere distribuiti automaticamente su tutte le macchine non appena si rendono disponibili!
Non lo fai? Alla paga il riscatto e taci!


https://support.office.com/en-us/ar...US&fromAR=1

Giusto per citare l'ultimo.

Se per te non c'è alcuna differenza, vuol dire che evidentemente non lavori nel settore.



Originariamente inviato da: Tasslehoff
Perdonami ma questo è un vecchio adagio che circola dalla notte dei tempi e che risale ai tempi in cui "uptime" era il sacro totem a cui sacrificare ogni cosa, sicurezza in primis.

Sono anni che qualsiasi servizio (a maggior ragione di target enterprise) è configurabile in cluster, in particolare su OS Windows con il classico giochino del cluster active/passive (che a onor del vero su Windows funziona piuttosto bene) implementabile praticamente in ogni scenario per garantire continuità di servizio.
Basta giocare un po' con le group policy per evitare riavvi simultanei dei nodi e limitarli alle ore di basso carico.

Questa scusa ormai non regge più, viene spesso tirata fuori quando si cerca una scusa per non effettuare un reboot per paura che qualche servizio non funzioni a dovere (almeno questo è lo scenario tipico che ho trovato da tanti clienti), senza considerare che più si aspetta e più questo timore (spesso infondato) continuerà a ingigantirsi all'infinito.


E lo dici a me? Rileggiti il mio commento e non limitarti solo alla prima frase, ma anche a quanto scritto dopo.

Detto questo, le procedure di rollback, snapshot delle VM, backup e ambienti di test esistono, ma RICHIEDONO TEMPO.
I cluster sono anche obsoleti, visto che il numero delle macchine fisiche si è ridotto drasticamente.
Si preferisce, in ambito enterprise (e parlo di grosse aziende), attendere, controllare le singole patch una per una (ce ne sono alcune di MS [RISOLTE SOLO A GIUGNO, da Aprile] che piantano casino con dei notebook HP con CPU Carrizo e ddr4, mi metto poi a disinstallare patch su xmila utenti?) e poi decidere quando e come, rispettando le direttive del business, deployare e riavviare.

Non parliamo poi di ambienti di produzione, dove esistono ancora macchine con windows XP perchè il fornitore X del software Y non esiste più e quindi non è possibile aggiornare l'OS, o di server critici in ambienti produttivi H24 ad alto rischio.

Io non so che lavoro facciate voi, ma funziona così, che vi piaccia o meno, funziona così.
FrankAl28 Giugno 2017, 18:03 #9
Ma quale vecchio adagio. Nessuna azienda con un minimo di senno (e di ufficio it con sale in zucca) abilita gli aggiornamenti automatici in produzione. Gli aggiornamenti vanno prima installati sugli ambienti di test/staging prima di vedere anche mezza macchina di produzione a prescindere da qualsiasi sia la modalità implemenata, cluster, a/a, a/s, a/cs. Sai quante cose potrebbero andare storte durante l'installazione di una patch, soprattutto quando la tua produzione è complessa e diversificata su una pletora di sistemi/servizi/brand? Il riavvio simultaneo dei nodi è solo l'ultimo dei problemi che potresti ritrovarti ad affrontare con le magiche patch Microsoft.
Riccardo8229 Giugno 2017, 08:59 #10
L'unico che lavora qui è Epoc_MDM.

Gli altri vivono in un mondo fittizio.

Anche noi siamo nella stessa sistuazione di Epoc_MDM solo che non abbiamo xp ma server 2003.

Teoria teopria teoria..

Poi finisci l'università vai a lavorare e boom!!

saluti

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^