L’epidemia ransomware Petya è la prova che WannaCry è stato solo l’inizio
Una compagnia di distribuzione di energia in Ucraina, una della più grandi aziende di snack, e persino i sistemi di monitoraggio delle radiazioni di Chernobyl, sono stati tra le centinaia di aziende e organizzazioni nel mondo che hanno riportato di essere state infettate martedì dal ransomware della famiglia Petya.
Sebbene il vettore d’attacco iniziale non sia stato ancora identificato, l’analisi di F-Secure ha riscontrato che questo ceppo di Petya usa l’exploit EnternalBlue per cui Microsoft aveva rilasciato una patch già lo scorso marzo, e che ha ottenuto evidenza in maggio grazie a WannaCry, la più grande epidemia ransomware di sempre. Questi exploit, identificati dalla National Security Agency, non sono stati resi noti fino a quando il gruppo di hacking Shadowbrokers li ha pubblicati all’inizio di quest’anno.
Guarda questa immagine su Twitter
Petya encrypts the following file types, demands a $300 ransom in Bitcoin. pic.twitter.com/9a3S2fwDtR
— @mikko (@mikko) June 27, 2017
I Laboratori di F-Secure hanno messo in allerta sui pericoli degli strumenti di sorveglianza usati dai governi che vengono trafugati e poi usati come armi dai criminali. Questi ammonimenti sono ora diventati una realtà con cui le aziende dovranno avere a che fare nei prossimi anni.
WannaCry si è dimostrato un modello di business sostenibile per i criminali. Un ransomware che si diffonde come un network worm potrebbe tenere in ostaggio gran parte dei dati di un’organizzazione, a fronte della richiesta di denaro in forma di Bitcoin come riscatto. Ma il danno di WannaCry è stato rapidamente minimizzato a causa di una codifica scadente che ha permesso a un giovane ricercatore di sicurezza di rallentare la diffusione del malware, dopo aver acquistato il dominio usato come kill switch.
un ricercatore di malware che a quell’epoca era senza lavoro di fermarlo prontamente.
Ora Petya sembra essere un tentativo molto più professionale di utilizzare metodi simili.
Sean Sullivan, Security Advisor di F-Secure, ha dichiarato che “L’ultima volta gli attaccanti dilettanti hanno solo infettato molte persone. Ora questi attaccanti vogliono fare cassa con Petya.”
Diversamente da altro ransomware, Petya ha un risvolto malvagio – crittografa porzioni del disco fisso rendendo Windows inaccessibile. Nonostante questa famiglia sia stata in azione per più di un anno, nessuna versione aveva usato vulnerabilità della rete prima d’ora.
Nel pomeriggio di mercoledì 28 giugno, circa $10,198.48 USD sono già stati raccolti nel portafoglio di Bitcoin in cui Petya chiede di effettuare il pagamento, secondo questo account Twitter che traccia i pagamenti.
Ecco la buona notizia: i prodotti F-Secure bloccano la nuova variante di Petya
I prodotti di protezione dell’endpoint di F-Secure prevengono tutte le varianti di questa minaccia. Il prodotto di gestione delle vulnerabilità di F-Secure segnala le vulnerabilità nel sistema per porre un rimedio. Infine, il servizio gestito di risposta agli incidenti di F-Secure rileva l’attacco e abilita una risposta immediata alla minaccia.
I prodotti per gli endpoint di F-Secure offrono protezione contro il ransomware Petya a vari livelli per assicurare che l’attacco venga bloccato in vari punti della catena d’attacco.
- La funzionalità di gestione delle patch, Software Updater, evita che la nuova variante del ransomware Petya sfrutti la vulnerabilità EternalBlue rilasciando in modo automatico le relative patch di sicurezza.
- La funzione Security Cloud rileva e blocca il file DLL usato dal ransomware.
- Il motore Anti-Malware rileva e blocca la minaccia attraverso la rilevazione di molteplici firme complementari.
- Le regole predefinite del firewall evitano che l’attacco Petya si diffonda lateralmente nell’ambiente e crittografi i file.
La soluzione di gestione delle vulnerabilità F-Secure Radar segnala le patch Microsoft mancanti e blocca la porta TCP 445 per un’azione immediata da parte degli amministratori IT, offrendo loro un ampio spazio di tempo per risolvere le vulnerabilità prima dell’epidemia.
Il servizio gestito di risposta agli incidenti F-Secure Rapid Detection Service rileva un gran numero di tecniche TTP usate da Petya, consentendo ai clienti F-Secure di compiere azioni di rimedio immediate nel caso venga rilevata un’infezione.
Cosa dovresti fare?
I prodotti per la protezione endpoint di F-Secure bloccano gli attacchi Petya con le regole predefinite. Tuttavia, è bene verificare che tutte le funzioni di sicurezza siano abilitate. Inoltre, dovresti compiere ulteriori step per mitigare le vulnerabilità che vengono sfruttate ed evitare così che l’attacco si diffonda nel tuo ambiente.
- Assicurati che DeepGuard e la protezione in tempo reale siano attivate su tutti i tuoi endpoint aziendali.
- Assicurati che la protezione della rete in tempo reale sia attivata.
- Assicurati che il programma di sicurezza di F-Secure stia usando gli ultimi aggiornamenti del database disponibili.
- Identifica gli endpoint senza le patch rilasciate da Microsoft (4013389) con Software Updater o altri strumenti disponibili, e applica le patch immediatamente.
- Applica MS17010 a Windows Vista e versioni successive (Windows Server 2008 e versioni successive)
- Applica la patch di Microsoft a Windows XP o Window Server 2003.
- Nel caso in cui tu non sia in grado di applicare la patch immediatamente, disabilita SMBv1 seguendo i passaggi documentati in questo articolo “Microsoft Knowledge Base Article 2696547” per ridurre la superficie di attacco.
- Assicurati che il firewall di F-Secure sia attivato con le sue regole predefinite. In alternativa, configura il tuo firewall per bloccare il traffico inbound e outbound della porta 445 all’interno dell’organizzazione per evitare che si diffonda nell’ambiente.
Cosa dovresti fare se vieni colpito?
- Cambia tutti i permessi relativi ai file in “sola lettura” per tutti i volumi condivisi. Oppure disconnetti tutti i principali drive di condivisione, NAS, SAN, ecc. laddove possibile per limitare qualsiasi potenziale infezione dove non sia possibile configurarli in sola lettura.
- Se si utilizzano sistemi di monitoraggio, controlla le macchine che mostrano un picco di attività sul disco.
Categorie