Petya e le sue varianti: ancora un attacco globale, ma le protezioni funzionano…

Un altro cyber attacco globale ha messo in ginocchio organizzazioni pubbliche e private in varie parti del mondo. E ancora una volta si tratta di un ransomware, Petya, che ha infettato una grande quantità di dispositivi poco aggiornati, bloccandoli e chiedendo un riscatto in Bitcoin per liberarli. Eppure non è trascorso moto tempo da quando il ransomware WannaCry ha bloccato mezzo mondo… Mai come in questo momento la sicurezza informatica risulta così strategica e indispensabile, dal momento che chi ha messo in atto le protezioni indicate, non ha subito danni né ricatti.

Diamo la parola agli esperti: visioni e  suggerimenti di alcuni esponenti aziendali in materia possono dare un aiuto, una rassicurazione o creare maggior sensibilità verso la cyber security.

Secondo Eurosystem, azienda di consulenza informatica di Treviso, il virus che sta circolando in questi giorni  poteva essere evitato, poiché  la notizia di questo attacco era in circolazione già dall'anno scorso, segnalata anche in un webinar organizzato dalla società stessa. Petya utilizza una vulnerabilità già nota nel malware  WannaCry e usa la stessa modalità di propagazione, eseguendo una procedura di iniezione che introduce codice malevolo nei software di Microsoft. Il ransomware cripta tutto il contenuto del disco fisso, rendendo inaccessibile l’accesso ai propri file. Il Pc si riavvia in automatico e invece di avere la schermata di Windows appare la schermata del virus che chiede il riscatto. Come limitare i danni di Petya: Installare tutte le patch di sicurezza di Microsoft Windows; Disabilitare il protocollo SMBv1; Aggiornare Software di terze parti (antivirus, antimalware e altri software presenti nel computer).

Trend Micro afferma che le aziende che utilizzano le proprie soluzioni con capacità di machine learning sono già protette. La società avvisa di aver identificato il ransomware in azione come una variante di Petya e di averlo nominato RANSOM_PETYA.SMA. Questa variante utilizza come vettori di infezione sia l’exploit EternalBlue che il tool PsExec. Come prevenire ed evitare l’infezione: Applicare la patch di sicurezza MS17-01; Disabilitare il Tcp port 445; Limitare gli account con l'accesso al gruppo di amministratori.

I primi risultati degli studi condotti dagli analisti di Kaspersky Lab suggeriscono che non si tratti di una variante del ransomware Petya, ma di un nuovo ransomware che non è mai stato visto prima. Sebbene diverse stringhe siano simili a Petya, le funzionalità sono completamente diverse. L’hanno chiamato ExPetr. Secondo l’azienda si tratta di un attacco complesso che coinvolge diversi vettori d'attacco e conferma che gli exploit EternalBlue ed EternalRomance modificati vengono utilizzati dai criminali per la propagazione all'interno delle reti aziendali. Gli esperti di Kaspersky Lab continueranno ad analizzare l’attacco per determinare se è possibile decriptare i dati colpiti e sviluppare un tool di decriptazione il prima possibile. Si consiglia a tutte le aziende di aggiornare i propri software Windows: gli utenti Windows XP e Windows 7 per proteggersi possono installare la patch di sicurezza MS17-010. Inoltre, viene suggerito di assicurarsi di aver fatto il back up dei file.

Ermes, una start up Incubatore I3P del Politecnico di Torino, sostiene che Petya si diffonde con le cosiddette spear phishing mail, che possono essere molto precise - nei dati riportati per ingannare il destinatario - grazie alle informazioni sull’attività che l’utente svolge sul web reperite tramite i web tracker. Ermes dispone un sistema brevettato in grado di distinguere i tracker “buoni” da quelli “cattivi” e di bloccare completamente questi ultimi, così da proteggere le informazioni degli utenti.

Pubblica i tuoi commenti