30 giugno 2017 Elisa

I RANSOMWARE TORNANO A COLPIRE: ORA SI TEME NOTPETYA

NotPetya

>> Il cyberattacco ha colpito anche la catena di supermercati Rost in Ucraina (fonte immagine: Hromadske International)

Dopo la minaccia di Wannacry che nel mese di Maggio di quest’anno ha messo in ginocchio circa 150 Paesi nel mondo, un’altra infezione sta colpendo in questi giorni aziende e organizzazioni a livello globale: si tratta di NotPetya, un ransomware, ovvero un malware che cripta i file contenuti nel computer che viene infettato e chiede un riscatto per avere in cambio la chiave di decifrazione, più aggressivo e pericoloso rispetto ai predecessori Wannacry e prima ancora la prima versione di Petya.

Mentre gli esperti di diversi paesi nel mondo stanno analizzando questo malware, cerchiamo di fare un punto della situazione con un articolo che funge un po’ da vademecum su NotPetya, sul suo metodo di trasmissione e sulle contromisure che si possono adottare.

INNANZITUTTO, COME LO DOBBIAMO CHIAMARE?

Appena il malware si è presentato è stato associato a Petya, ransomware che ha mietuto molte vittime nel 2016: ma man mano che gli esperti avanzavano con l’analisi del software hanno però riscontrato qualche differenza. Alcuni l’hanno chiamato Goldeneye, altri Nyetya, ma la maggior parte delle società di sicurezza e dei ricercatori si sono assestati sul nome NotPetya, perché seppur simile a Petya non lo è.

ESATTAMENTE COS’E’ E COME FUNZIONA?

Ransomware

NotPetya fa parte della famiglia dei ransomware, quei software malevoli che si contraggono aprendo allegati o cliccando sui link contenuti in email del tutto simili a quelle istituzionali (inviate ad esempio da banche, fornitori di utenze, corrieri), ma in realtà spedite da indirizzi fittizi creati dai criminali informatici a cui è molto difficile risalire. Una volta lasciato libero l’accesso si scarica immediatamente il malware che in pochissimo tempo cripta tutti i file contenuti nel pc e chiede un riscatto in bitcoin (moneta elettronica non tracciabile) per avere in cambio la chiave di decifrazione.

NotPetya non si limita a criptare solo i file contenuti nel computer, ma l’intero disco fisso, bloccando il dispositivo, ed inoltre scarica le credenziali dalla sua memoria. Per questo motivo risulta molto più insidioso ed aggressivo degli altri ransomware esistenti, oltre che per le modalità (che vedremo nel prossimo punto) e la velocità di diffusione; infatti in poche ore ha infettato oltre duemila organizzazioni ed aziende pubbliche e private in Francia, Spagna, Gran Bretagna, India, Germania, Danimarca, Russia, Stati Uniti, Italia ed Ucraina, da dove è partito.

Possiamo considerare NotPetya una versione aggiornata del ransomware Petya, codificato l’anno scorso, e simile a Wannacry: anche questo malware ha integrato l’exploit d’attacco EternalBlue, sviluppato dal National Security Agency (NSA) statunitense e diffuso online la scorsa estate dal gruppo “Shadow Brokers”, che, tra l’altro, rivendica una serie di furti di attacchi informatici dell’agenzia americana. A differenza di Wannacry, NotPetya si avvale anche di un secondo exploit, sempre sfuggito al controllo dell’agenzia di sicurezza statunitense, chiamato EternalRomance.

Entrambi gli exploit sono progettati per sfruttare una vulnerabilità (corretta da Microsoft lo scorso marzo, prima dell’esplosione di Wannacry, ma ancora presente sui dispositivi non aggiornati) nel server Samba (SMB) dei sistemi Microsoft che infetta i PC connessi a Internet. NotPetya inserisce la modalità di distribuzione via email, la codifica dell’indice dei file nel file system NTFS (MFT) e la sostituzione del settore di boot del disco fisso con un boot loader custom che attiva una memoria video con la richiesta di riscatto.

 COME SI DIFFONDE E DA DOVE E’ PARTITO?

Il ransomware si diffonde con quello che in gergo viene definito “movimento laterale”, ovvero sui computer collegati tramite reti interne al computer infetto, grazie alle vulnerabilità citate poco sopra e sfruttando due strumenti di amministrazione di Windows, WMIC e PSEXEC. Il problema è che il ransomware può propagarsi anche verso macchine con sistema operativi aggiornati se sono collegati al computer infetto.

Secondo alcuni il malware potrebbe essere trasmesso anche via email, in particolare tramite una vulnerabilità degli allegati Word, ma questa teoria non è stata ancora confermata.

Secondo alcuni indiscrezioni il punto di partenza di NotPetya, sarebbe stato il sistema di update automatico di MeDoc, un software finanziario sviluppato da una società ucraina, che sarebbe stato compromesso, infettando i dispositivi tramite gli aggiornamenti (questo tipo di attacco attraverso la catena di approvvigionamento viene chiamato supply-chain attack).

L’azienda ucraina ha smentito queste voci, che, però, vengono sostenute da esperti di sicurezza e società come MalwareTech, AlienVault, Cisco e la stessa polizia ucraina. Inoltre, questa versione spiegherebbe il motivo per cui l’Ucraina è il Paese maggiormente colpito.

COME CI SI PUO’ DIFENDERE?

Antivirus

Premettiamo da subito che non esiste una cura per i computer già infettati. Esiste, però, una sorta di vaccino, ideato da Amit Serper, ricercatore della Cybereason (azienda di Boston che produce software antivirus), con cui rendere i computer immuni a NotPetya. Il ricercatore ha individuato un’operazione, poi confermata da alcune società di sicurezza informatica, che impedisce al ransomware di agganciarsi al file locale nel sistema operativo che utilizza per propagarsi; si tratta di creare un file di sola lettura con il nome “perfc” nella cartella C:Windows.

>> GUIDA DETTAGLIATA: clicca qui per visionarla.

Il vaccino individuato da Serper è un’ottima soluzione anche per chi aveva il computer spento e teme possa essere infettato al primo riavvio. Prima di accendere il pc si dovrà disconnetterlo da Internet, staccando il cavo di Rete o disabilitando il wifi, verificare che il riavvio avvenga normalmente e una volta acceso il dispositivo procedere con la vaccinazione. Una volta terminata questa procedura ci si potrà connettere ad Internet per aggiornare manualmente l’antivirus a versioni successive al 27 giugno e il sistema operativo all’ultima versione (prima di questi download verificare di aver chiuso tutte le app).

Un’altra via, un po’ più articolata, la suggerisce il professore di sicurezza informatica del PoliMi, Stefano Zanero: patchare i sistemi e in particolare gli exploit SMB, disattivare SMBv1, bloccare accesso alle porte 137, 138, 139, 445 e se possibile disabilitare (tramite group policy) le share Admin$ su tutta la rete.

Il professore, poi, mette in guardia gli utenti “Se quando riavviate vedete un messaggio di chkdsk (del controllo del disco di Windows), è il malware che vi sta cifrando il disco. Non lasciatelo fare: spegnete e potreste riuscire a recuperare ciò che non è stato ancora cifrato con un disco di boot”.

COSA SI DEVE ASSOLUTAMENTE EVITARE?

Sicuramente la soluzione da non percorrere è cedere al ricatto (di circa 300 $ in bitcoin): in generale, essendo di fronte a cybercriminali, non vi è la certezza dopo il pagamento di riavere la macchina funzionante ed in questo caso le autorità hanno già provveduto a chiudere l’account email che i pirati informatici utilizzavano per richiedere il pagamento.

COSA FARE PER DIFENDERSI DAI MALWARE

In ogni circostanza è sempre buona norma:

  • Effettuare dei backup periodici, anche giornalieri, in più supporti, fisici o in cloud;
  • Dotare i dispositivi di un buon antivirus (possibilimente, quindi, non gratuito);
  • Tenere aggiornato il sistema operativo e l’antivirus;
  • Seguire e far seguire anche ai propri dipendenti corsi di formazione ed aggiornamento per essere formato su come riconoscere e prevenire pericoli analoghi.

Contattaci se hai bisogno di formazione o consulenza in merito oppure necessiti di organizzare i backup di salvataggio per dormire sonni tranquilli!

Versione per la stampa Versione per la stampa
, , , , , , , , , , ,