Attacco del ransomware Petya

Articolo tratto da AchaBlog

Il 27 di giugno parecchie società sparse per il mondo (fra cui alcuni colossi come la farmaceutica Merck e la società di spedizioni Maersk) hanno denunciato di aver subito un massiccio attacco da virus ransomware.

Pare che l’attacco originale abbia colpito l’Ucraina, paralizzando l’operatività di supermercati e banche, e che ora il virus si stia diffondendo a macchia d’olio un po’ in tutto il mondo.

I laboratori Webroot hanno rilevato la prima minaccia alle 10:00 del mattino (orario UTC) del 27 giugno: da quel momento tutti gli utilizzatori di Webroot sono protetti.

  

Cosa sappiamo

Pare assodato che il virus in questione sia una variante di Petya, ransowmare immesso sul “mercato” circa un anno fa.

La modifica principale, rispetto al ransomware originale, consiste nel fatto che l’attacco sfrutta EternalBlue per infettare i sistemi Windows, ossia esattamente la stessa tecnica utilizzata da WannaCry nell’ormai (sic!) dimenticato attacco di qualche settimana fa.

Una seconda differenza rispetto al virus originale è il modo con cui vengono presi in ostaggio i file: l’originale Petya cifrava i file in base alle estensioni dei file stessi; questa variante invece cifra la Master File Table (MFT), ossia in pratica si sostituisce al piccolo pezzo di codice che fa avviare il computer rendendolo di fatto inutilizzabile.
Al riavvio successivo all’infezione, infatti, il sistema non si avvia normalmente ma compare una scritta che informa delle cifratura dei dati e del riscatto da pagare.
 
Benché, come detto, venga sfruttata la medesima vulnerabilità che ha reso celebre WannaCry, questa variante di Petya, pare utilizzare istruzioni specifiche per infettare quante più macchine possibili.
Il virus infatti utilizza WMI (Windows Management Instrumentation) per cercare di attaccare le macchine in rete usando delle credenziali acquisite sulla macchina infetta.

Una curiosità per gli "smanettoni": una volta che il sistema viene riavviato, dopo aver contratto il virus, il PC sembra compiere alcune operazioni diagnostiche (chkdsk) che i tecnici informatici conoscono bene: tuttavia non si tratta di un’operazione diagnostica ma di una conferma che i file sono stati cifrati.
 
L’immagine è tratta da un tweet del primo ministro Ucraino che denuncia l’attacco in corso.
 
Dopo che i file sono stati cifrati, non c’è modo per le vittime di riottenere i propri file se non pagando il riscatto (sempre sconsigliato!), contattando uno degli indirizzi che compaiono nella schermata con la richiesta... a meno che le vittime non abbiamo un backup (affidabile) e possano quindi recuperare i file mettendo in pista una procedura di disaster recovery.

Per scoprire se un PC è attaccabile da virus come WannaCry e Petya è possibile utilizzare un semplice programma predisposto da ESET, disponibile gratuitamente.
 
Sintesi (e come proteggersi)
La cosa incredibile è che, nonostante la risonanza che ha avuto WannaCry, le aziende non hanno aggiornato i propri sistemi per mettere una toppa alla vulnerabilità EternalBlue legata al protocollo SMB (versione 1.0) di Windows.

Microsoft ha rilasciato il 14 Marzo la patch per toppare la falla, ed è disponibile qui.
Oltre ad aver rilasciato la patch a suo tempo, Microsoft ha dato anche il proprio contributo per arginare il problema: si è affrettata infatti a rilasciare delle patch anche per i sistemi operativi non supportati (XP, Vista, 2003).

Non importa quale sistema utilizzi per installare le patch, ma installale, questa in particolare.
Questa forse è la principale lezione da imparare, dopo WannaCry e Petya: il processo di patch management è parte integrante e insostituibile di un corretto approccio alla sicurezza.

  • Facebook Social Icon
  • Google Places Social Icon

© Ravagnati Sistemi sas di F. Ravagnati & Co.