skip to main | skip to sidebar
13 commenti

Ransomware NotPetya in tutto il mondo, il punto della situazione

Pubblicazione iniziale: 2017/06/30 8:50. Ultimo aggiornamento: 2017/07/01 16:45. 

Nuovo allarme planetario per il ransomware: dal 27 giugno scorso è in circolazione un nuovo attacco informatico, battezzato NotPetya, che segue lo schema consueto dei ransomware, bloccando i computer e cifrandone i dati con una password complicatissima che si potrebbe ottenere soltanto pagando un riscatto.

Ho scritto potrebbe perché a differenza dei ransomware passati, con NotPetya pagare è sicuramente inutile, dato che l’indirizzo di mail al quale ci si deve rivolgere per offrire il riscatto è stato disattivato durante i primi interventi degli addetti alla sicurezza informatica.

Le aziende colpite sono numerosissime in tutto il mondo (sono stati colpiti almeno 65 paesi), anche perché NotPetya si diffonde senza che l’utente debba aprire un allegato o visitare un sito: in estrema sintesi, si diffonde attraverso le condivisioni di rete di Windows impostate in modo imprudente. La sua propagazione iniziale è stata possibile perché i suoi creatori hanno preso il controllo del sistema di gestione degli aggiornamenti di un pacchetto di contabilità fiscale, MEDoc, molto diffuso in Ucraina.

Come spiegato in dettaglio nel bollettino di MELANI/GovCERT (la centrale svizzera d’annuncio e d’analisi per la sicurezza dell’informazione), esiste una tecnica di “vaccinazione” (scrivere un file di nome perfc o perfc.dat nella cartella di base di Windows), ma se un computer è già stato infettato c’è poco da fare.

Valgono i consigli di sempre, ossia prevenzione, prevenzione, prevenzione:

-- fate un backup dei vostri dati salvandoli su un dispositivo che non è connesso alla rete locale o a Internet,
-- installate gli aggiornamenti di sicurezza (già disponibili addirittura da marzo di quest’anno),
-- usate un buon antivirus.

In questo caso specifico, sono colpiti soltanto gli utenti Windows: chi usa MacOS o Linux è immune e anche gli smartphone iOS e Android non sono attaccabili da NotPetya.

Un dettaglio da non dimenticare: NotPetya sfrutta una vulnerabilità di Windows che l’NSA aveva scoperto ma aveva deciso di tenere segreta per poterla sfruttare. In pratica, pur di mantenere un presunto vantaggio tecnologico, l’NSA ha messo in pericolo non solo le aziende statunitensi che dovrebbe proteggere, ma tutte le aziende del mondo.


Fonti aggiuntive: F-Secure Labs, Microsoft, F-Secure, Reuters, Motherboard, F-Secure, AP.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Inoltre pare che a causa di un bug, o di un errore voluto nel codice del malware, anche volendo i creatori del ramsonware non possono comunque fornire una chiave per il decrypt.

"There are currently claims circulating from this blog post that Petya contains a programming error which destroys some of the MBR (Master Boot Record), leading to speculation it is a Wiper and intended to destroy data rather than make money by holding it to ransom. Although I do not disagree that it’s possible the malware was designed to cause chaos and the ransomware was simply a way to disuse the true intentions as a criminal operation gone wrong, the MBR destruction claims are false."

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html





Per favore, non gonfiamo la cosa inutilmente. Eternalblue é UNO dei TRE modi che questo worm use per la seconda fase (movimento laterale all'interno delle aziende). L'infezione iniziale (prima fase) e la distruzione dei dati (fase finale) non c'entrano nulla con l'NSA. Focalizzarsi su Eternalblue non giova nessuno.

Fonti:
https://twitter.com/ErrataRob/status/880548223445872644
https://twitter.com/ErrataRob/status/880131465622814720
https://twitter.com/mikko/status/879742221326721028
https://twitter.com/zeynep/status/880444322063290368
https://twitter.com/thegrugq/status/880398358866780160
https://twitter.com/pwnallthethings/status/880368575369883649
https://twitter.com/VessOnSecurity/status/880048986815594496
https://twitter.com/VessOnSecurity/status/879766840993513472

etc...
(Il mio commento precedente doveva contenere il tuo ultimo paragrafo come citazione di riferimento, non capisco perchè sia sparito, temo di aver fatto casino, scusa)
Ma nemmeno fai finta di niente. Se non ci fosse sarebbe stato un meccanismo in meno.
@fred

bhè più o meno.
sarebbe come dire che non ha importanza come un virus biologico passi da una cellula all'altra.
Le tre fasi sono ugualmente importanti, ma ammetterai che un conto è avere 1 computer aziendale infettato, un altro tutti i computer infettati.
Il Ransomware NotPetya crea enormi danni agli utenti ma anche i security update di giugno di Microsoft non scherzano LOL. Le mie ultime 2 settimane da sistemista sono state un inferno per i problemi creati dagli aggiornamenti di sicurezza di windows questa è una cosa molto grave sia per il danno in se sia perchè porta agli utenti a non fidarsi degli aggiornamenti.
s/NotPetya/WanaCry/g
@Gio
che problemi hai avuto? per caso con la KB4022719?
Io non ho avuto nessun problema..
Le mie ultime 2 settimane da sistemista sono state un inferno per i problemi creati dagli aggiornamenti di sicurezza di windows

Un inferno no; semplicemente mi sono spariti i drivers delle periferiche :-D
Non voglio sapere cosa passi per la mente in questo momento a coloro che hanno sviluppato il software per il nuovo "gioiello" della marina britannica, la portaerei HMS New Queen Elizabeth, inaugurata pochi giorni fa.

A quanto pare il sistema operativo di bordo è Windows XP. Se vero che controlla i sistemi di bordo (ci sono diverse fonti che lo indicano, nonostante varie smentite ufficiali passate) riporta alla mente una storia di quasi 20 anni fa: https://www.wired.com/1998/07/sunk-by-windows-nt/
Di sicuro, con le varie falle sfruttabili, ne spunteranno a decine di ransomware stile "Wanna Cry" e non credo che questa "era informatica" finirà presto.
È stato trovato il vaccino:
https//www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Si può fare manualmente o scaricare il "batch", il quale crea in Windows/C un file di sola lettura (perfc).