Cerca nel blog

2017/06/30

Ransomware NotPetya in tutto il mondo, il punto della situazione

Pubblicazione iniziale: 2017/06/30 8:50. Ultimo aggiornamento: 2017/07/01 16:45. 

Nuovo allarme planetario per il ransomware: dal 27 giugno scorso è in circolazione un nuovo attacco informatico, battezzato NotPetya, che segue lo schema consueto dei ransomware, bloccando i computer e cifrandone i dati con una password complicatissima che si potrebbe ottenere soltanto pagando un riscatto.

Ho scritto potrebbe perché a differenza dei ransomware passati, con NotPetya pagare è sicuramente inutile, dato che l’indirizzo di mail al quale ci si deve rivolgere per offrire il riscatto è stato disattivato durante i primi interventi degli addetti alla sicurezza informatica.

Le aziende colpite sono numerosissime in tutto il mondo (sono stati colpiti almeno 65 paesi), anche perché NotPetya si diffonde senza che l’utente debba aprire un allegato o visitare un sito: in estrema sintesi, si diffonde attraverso le condivisioni di rete di Windows impostate in modo imprudente. La sua propagazione iniziale è stata possibile perché i suoi creatori hanno preso il controllo del sistema di gestione degli aggiornamenti di un pacchetto di contabilità fiscale, MEDoc, molto diffuso in Ucraina.

Come spiegato in dettaglio nel bollettino di MELANI/GovCERT (la centrale svizzera d’annuncio e d’analisi per la sicurezza dell’informazione), esiste una tecnica di “vaccinazione” (scrivere un file di nome perfc o perfc.dat nella cartella di base di Windows), ma se un computer è già stato infettato c’è poco da fare.

Valgono i consigli di sempre, ossia prevenzione, prevenzione, prevenzione:

-- fate un backup dei vostri dati salvandoli su un dispositivo che non è connesso alla rete locale o a Internet,
-- installate gli aggiornamenti di sicurezza (già disponibili addirittura da marzo di quest’anno),
-- usate un buon antivirus.

In questo caso specifico, sono colpiti soltanto gli utenti Windows: chi usa MacOS o Linux è immune e anche gli smartphone iOS e Android non sono attaccabili da NotPetya.

Un dettaglio da non dimenticare: NotPetya sfrutta una vulnerabilità di Windows che l’NSA aveva scoperto ma aveva deciso di tenere segreta per poterla sfruttare. In pratica, pur di mantenere un presunto vantaggio tecnologico, l’NSA ha messo in pericolo non solo le aziende statunitensi che dovrebbe proteggere, ma tutte le aziende del mondo.


Fonti aggiuntive: F-Secure Labs, Microsoft, F-Secure, Reuters, Motherboard, F-Secure, AP.

13 commenti:

Gianmaria ha detto...

Inoltre pare che a causa di un bug, o di un errore voluto nel codice del malware, anche volendo i creatori del ramsonware non possono comunque fornire una chiave per il decrypt.

"There are currently claims circulating from this blog post that Petya contains a programming error which destroys some of the MBR (Master Boot Record), leading to speculation it is a Wiper and intended to destroy data rather than make money by holding it to ransom. Although I do not disagree that it’s possible the malware was designed to cause chaos and the ransomware was simply a way to disuse the true intentions as a criminal operation gone wrong, the MBR destruction claims are false."

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html



fred84 ha detto...



Per favore, non gonfiamo la cosa inutilmente. Eternalblue é UNO dei TRE modi che questo worm use per la seconda fase (movimento laterale all'interno delle aziende). L'infezione iniziale (prima fase) e la distruzione dei dati (fase finale) non c'entrano nulla con l'NSA. Focalizzarsi su Eternalblue non giova nessuno.

Fonti:
https://twitter.com/ErrataRob/status/880548223445872644
https://twitter.com/ErrataRob/status/880131465622814720
https://twitter.com/mikko/status/879742221326721028
https://twitter.com/zeynep/status/880444322063290368
https://twitter.com/thegrugq/status/880398358866780160
https://twitter.com/pwnallthethings/status/880368575369883649
https://twitter.com/VessOnSecurity/status/880048986815594496
https://twitter.com/VessOnSecurity/status/879766840993513472

etc...

fred84 ha detto...

(Il mio commento precedente doveva contenere il tuo ultimo paragrafo come citazione di riferimento, non capisco perchè sia sparito, temo di aver fatto casino, scusa)

Il Lupo della Luna ha detto...

Ma nemmeno fai finta di niente. Se non ci fosse sarebbe stato un meccanismo in meno.

ST ha detto...

@fred

bhè più o meno.
sarebbe come dire che non ha importanza come un virus biologico passi da una cellula all'altra.
Le tre fasi sono ugualmente importanti, ma ammetterai che un conto è avere 1 computer aziendale infettato, un altro tutti i computer infettati.

Gio ha detto...

Il Ransomware NotPetya crea enormi danni agli utenti ma anche i security update di giugno di Microsoft non scherzano LOL. Le mie ultime 2 settimane da sistemista sono state un inferno per i problemi creati dagli aggiornamenti di sicurezza di windows questa è una cosa molto grave sia per il danno in se sia perchè porta agli utenti a non fidarsi degli aggiornamenti.

Unknown ha detto...

s/NotPetya/WanaCry/g

Gianmaria ha detto...

@Gio
che problemi hai avuto? per caso con la KB4022719?

Il Lupo della Luna ha detto...

Io non ho avuto nessun problema..

martinobri ha detto...

Le mie ultime 2 settimane da sistemista sono state un inferno per i problemi creati dagli aggiornamenti di sicurezza di windows

Un inferno no; semplicemente mi sono spariti i drivers delle periferiche :-D

pgc ha detto...

Non voglio sapere cosa passi per la mente in questo momento a coloro che hanno sviluppato il software per il nuovo "gioiello" della marina britannica, la portaerei HMS New Queen Elizabeth, inaugurata pochi giorni fa.

A quanto pare il sistema operativo di bordo è Windows XP. Se vero che controlla i sistemi di bordo (ci sono diverse fonti che lo indicano, nonostante varie smentite ufficiali passate) riporta alla mente una storia di quasi 20 anni fa: https://www.wired.com/1998/07/sunk-by-windows-nt/

ferdinando traversa ha detto...

Di sicuro, con le varie falle sfruttabili, ne spunteranno a decine di ransomware stile "Wanna Cry" e non credo che questa "era informatica" finirà presto.

rico ha detto...

È stato trovato il vaccino:
https//www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Si può fare manualmente o scaricare il "batch", il quale crea in Windows/C un file di sola lettura (perfc).