Via Gatti 3/28 -41043 Formigine (MO)
059 5961136

Dopo Wannacry arriva “Petya”, dalla Russia con furore

Non è mai bello dire “te l’avevo detto”, soprattutto se il contesto a cui ci si riferisce è così negativo. Ma, in questo caos, tutti l’avevano detto.

Un nuovo ransomware partito dalla Russia si sta diffondendo su scala globale. Le modalità sono simili a Wannacry, ma a differenza di questo, “Petya”, come è stato chiamato, infetta i dispositivi tramite una mail e blocca i dispositivi, chiedendo un riscatto per poterli sbloccare.

Anche in questo caso non si tratta però di una novità ma di una variante ad un vecchio malware, che si sviluppa grazie all’exploit della NSA EternalBlue, che come ricorderanno i ben informati è lo stesso che usava Wannacry. A differenza di quest’ultimo però, dove EternalBlue agiva setacciando la rete per trovare delle falle nei sistemi operativi, qui viene applicato alle mail.

Da tenere in considerazione quindi che i patch applicati al sistema operativo che impedivano a Wannacry di attaccare un dispositivo non sono sufficienti a bloccare Petya (o come è stato definito da altre fonti NotPetya o GoldenEye a seconda di alcune caratteristiche), poiché l’attivazione avviene grazie all’apertura di una mail.

Le notizie ad ora riportano attacchi anche alla centrale di Chernobyl (dove ha messo fuori uso sistemi di monitoraggio radioattivo) e a delle aziende in Francia, ma i territori colpiti sono molti di più.

Danimarca, Russia, Gran Bretagna e Usa compaiono tra le vittime, ma è in Ucraina che sono stati creati i maggiori disagi: computer di alti funzionari infettati, come anche la Banca Nazionale, compagnie importanti, la catena di negozi Auchan, la metropolitana della capitale e l’aeroporto Borispol di Kiev.

Il caso è scoppiato grazie all’azienda petrolifera Rosneft, che ha denunciato su Twitter di un attacco hacker ai suoi sistemi.

Il riscatto in bitcoin si aggira intorno ai 300 dollari a dispositivo per il rilascio dei dati.

La situazione di tensione si è manifestata immediatamente a livello politico con le accuse del governo ucraino alla Russia. Un attacco anche ideologico dicono, poiché il 28 giugno è il giorno della Costituzione in Ucraina (adottata proprio il 28 giugno del 1996).

Che si tratti di un attacco mirato non possiamo dirlo, ma non sorprenderebbe più di tanto considerato che le nuove frontiere belliche sono destinate ad avere impronte digitali oltre che materiali. Di certo non sembrano meno spaventose quando pensi che, magari, questi individui possono ottenere il controllo in remoto di dispositivi e armi di intere nazioni.

Ma le implicazioni politiche sono al di fuori del nostro controllo, noi ci possiamo limitare ad osservare la situazione in generale. Gli exploits che gli hackers di Shadowbrokers hanno sottratto alla National Security Agency stanno continuando ad essere sfruttati senza troppe remore per creare sempre nuovi worm. Quando nel giro di pochi mesi emergono così tanti ransomware forse si può cominciare a parlare di situazione critica, ma l’incitamento al terrore non è la soluzione giusta.

Gli avvertimenti ci sono stati dati dopo il fenomeno Wannacry, quindi perché continuiamo a leggere di attacchi di questo tipo? La spiegazione è molto semplice: come si evolvono i sistemi di difesa, si evolvono le minacce.

Per questo sarà una lotta dura da vincere, quella contro la cyber criminalità. Ci troviamo di fronte prima di tutto a persone, quindi ad esseri emotivi, magari testardi. Non si lasciano scoraggiare e questo li rende pericolosissimi.

La cosa più importante in questo caso è prevenire. Non sei stato attaccato? Puoi esserlo in futuro. Quindi aggiorna costantemente i sistemi, esegui i back up, procurati sistemi di sicurezza efficaci e usa la massima discrezione quando esegui ogni operazione sulla rete. Non pensare solo al tuo dispositivo ma ad ogni tuo contatto, perché queste minacce si diffondono a macchia d’olio e tornare alla situazione d’essere precedente è quasi impossibile.

L’ultima, importantissima, cosa ci teniamo a riferire proviene dagli esperti del settore, che concordano su un aspetto riguardante la minaccia Petya: la rimozione dei privilegi amministrativi basta a fermare il ransomware.

Non sempre utilizzata dalle aziende perché prevede la limitazione di molte funzionalità e applicazioni agli utenti (che quindi si dimostrano infelici di tale soluzione), è stato provato però che la rimozione dei privilegi amministrativi limita notevolmente i rischi di incorrere nelle cyber threats.

Secondo un report di Avecto, una società che ha sviluppato un sistema di protezione che si basa su questo concetto, “sono state rilevate 530 vulnerabilità di Microsoft nel 2016, il 36% delle quali con indice di gravità critica. Di queste, il 94% poteva essere mitigato rimuovendo i privilegi amministrativi”.

Statistiche non indifferenti per una sola, relativamente semplice, funzione.

Lo statement di Avecto continua dicendo che “Gli user con account configurato per avere meno privilegi amministrativi saranno meno vulnerabili ad attacchi rispetto a quegli utenti che li hanno”.

Non ci stancheremo mai di dirlo: prevenire è meglio che curare, soprattutto se quello che cerchi di curare è probabilmente perso per sempre.

 

Tekapp lavora con Avecto da anni, poiché crede fermamente nel suo prodotto, uno dei migliori sul mercato.

Pensa alla tua sicurezza prima di tutto. Per ulteriori informazioni contattaci.

Leave a comment