L'episodio di attacco ransomware globale Petya degli scorsi giorni è solo il più recente step nell’evoluzione del ransomware iniziato settimane fa con l'epidemia WannaCry.
Ma con Petya questa tipologia di attacchi ha fatto un vero e proprio balzo, dipingendo un quadro davvero allarmante di computer senza patch usate per infettare migliaia di macchine, sia protette sia non protette.
Ransomware inizialmente agiva infettando migliaia di singoli sistemi, uno alla volta, detenendoli in ostaggio per riscuotere un pagamento dai singoli utenti. L'impatto di tali campagne ransomware è sempre stato limitato perché la metodologia di distribuzione - le email di phishing - ha sempre impiegato parecchio tempo per raggiungere l’obiettivo.
WannaCry ha portato il ransomware a un nuovo livello, introducendo un worm sui computer tramite una particolare vulnerabilità.
L'epidemia di Petya di oggi, spiegano i tecnici di McAfee, si basa su questa tecnica che trae origine dalla commistione tra worm e vulnerabilità, aggiungendo un nuovo ulteriore elemento che consente anche alle macchine non vulnerabili di essere infettate. Lo fa anche rubando credenziali dalle macchine infette, permettendo alle credenziali rubate di essere utilizzate per infettare macchine cui sono state correttamente applicate tutte le patch disponibili.
Questo approccio ibrido amplifica drasticamente l'impatto e la portata dell'attacco e minaccia le più grandi società del mondo con la prospettiva che le loro attività siano interrotte se una macchina è in grado di infettarne migliaia.
I tecnici di McAfee sono convinti che gli eventi di oggi siano parte dell'evoluzione naturale della tecnologia di ransomware, ma che siano anche un test per un attacco molto più grande e più audace in futuro.
Per prepararsi alla prossima generazione di attacchi di ransomware, aggioungono, è essenziale che le aziende applichino le patch a tutti i sistemi con determinazione contro le vulnerabilità note, creino un'architettura sicura che utilizzi tecnologie avanzate di difesa della sicurezza informatica ed eseguano un piano completo di backup dei dati per la loro organizzazione.
I suggerimenti di Sophos
Da parte sua Sophos, che conta oltre 100 milioni di utenti in 150 paesi, propone le seguenti azioni:
- Assicurarsi che i propri sistemi abbiano installato le ultime patch, inclusa la patch di Microsoft MS17-010
- Valutare di bloccare Microsoft PsExec, rendendolo non eseguibile sui computer degli utenti. È possibile bloccarlo usando una soluzione come Sophos Endpoint Protection. Una versione di questo strumento Microsoft è infatti sfruttata da Petya per diffondersi automaticamente.
- Effettuare il backup regolarmente e tenere sempre una copia del backup, più recente possibile, off-site. Ci sono una dozzina di modi in cui i file possono essere irrimediabilmente corrotti, oltre naturalmente ad un attacco ransomware. Un’eliminazione accidentale, un furto, un danneggiamento dell’hardware dovuto ad agli urti. È necessario inoltre criptare il proprio backup per evitare che possa essere rubato.
- Evitare di aprire allegati da destinatari sconosciuti, anche se lavorate spesso con allegati di email
- Scaricare la prova gratuita di Sophos Intercept X e, per l’utenza casalinga, registrarsi per la versione gratuita Sophos Home Premium Beta: queste soluzioni prevengono l’attacco ransowmare bloccando la criptazione dei file non autorizzata sui file nei vostri hard disk
Cisco segnala Nyetya
Nella visione di Cisco Petya è già stato superato da una variante che Talos, il dipartimento di Intelligence sulle minacce informatiche e laboratorio di ricerca sulla sicurezza informatica di Cisco, ha chiamato Nyetya. L'analisi iniziale indica che l'attacco è iniziato in Ucraina, indirizzato a varie aziende e agenzie governative. Sono stati segnalati attacchi importanti in Francia, Danimarca, Spagna, Regno Unito, Russia e Stati Uniti.
I ricercatori di Talos ritengono che il primo attacco verificatosi in Ucraina abbia avuto origine da sistemi di aggiornamento software di un pacchetto contabile fiscale ucraino chiamato MeDoc. Questo sembra essere stato confermato da MeDoc stesso.
Ma l’aspetto più innovativo ed inquietante allo stesso tempo è che una volta che questo ransomware è entrato nel sistema, utilizza tre modi per diffondersi automaticamente in una rete, uno dei quali è la nota vulnerabilità Eternal Blue, simile a quanto è avvenuto con l'attacco WannaCry del mese scorso.
La privacy torna di moda!
“Quello che emerge da questo attacco – osserva Stefano Volpi, Practice Leader per l’Italia e GSSO di Cisco - è che le aziende di ogni dimensione e settore, pubbliche e private, devono dare priorità alle patch dei sistemi per abbassare il loro profilo di rischio. Dobbiamo affrontare queste vulnerabilità il più rapidamente possibile. Inoltre, fare backup dei dati importanti è fondamentale e va introdotto in qualsiasi processo di security.
Per aiutare le aziende a combattere la minaccia ransomware, Cisco ha definito un approccio architetturale per la difesa contro il ransomware, la soluzione Ransomware Threat Defense, per rafforzare le protezione con rilevazione, visibilità e intelligenza.