Contenuti
- Cos'è il ransomware NotPetya?
- Da chi ti proteggi?
Cos'è il ransomware NotPetya?
NonPetya (o Petwrap) è basato su una versione precedente di il ransomware Petya, originariamente progettato per tenere in ostaggio file e dispositivi per il pagamento in Bitcoin. Tuttavia, nonostante Non il tentativo di Petya di raccogliere denaro nel suo attacco globale in rapido movimento, non sembra essere strettamente a caccia di soldi. Invece, NotPetya sta crittografando i file system delle macchine per danneggiare le aziende. A quanto pare l'aspetto del ransomware è solo una copertura.
Video consigliati
Ciò che rende NotPetya pericoloso è che sotto il fronte basato sul ransomware si nasconde un exploit chiamato Blu eterno, presumibilmente progettato dalla National Security Administration degli Stati Uniti (nota anche come NSA). Prende di mira un protocollo di rete specifico e vulnerabile chiamato Blocco messaggi del server (versione 1) utilizzato per condividere stampanti, file e porte seriali tra PC basati su Windows collegati in rete. Pertanto, la vulnerabilità consente agli aggressori remoti di inviare ed eseguire codice dannoso su un bersaglio computer. Il gruppo di hacker Shadow Brokers trapelato EternalBlue nell'aprile del 2017.
Il ransomware NotPetya include anche un componente “worm”. In genere, le vittime cadono preda del ransomware scaricando ed eseguendo malware mascherato da file legittimo allegato a un'e-mail. A sua volta, il malware crittografa file specifici e pubblica una finestra popup sullo schermo, richiedendo il pagamento in Bitcoin per sbloccare tali file.
Tuttavia, il ransomware Petya emerso all’inizio del 2016 ha fatto un ulteriore passo avanti crittografando l’intero hard disk del PC. o un'unità a stato solido infettando il record di avvio principale, sovrascrivendo così il programma che avvia l'avvio di Windows sequenza. Ciò ha comportato una crittografia della tabella utilizzata per tenerne traccia Tutto file locali (NTFS), impedendo a Windows di individuare qualsiasi cosa archiviata localmente.
Nonostante la sua capacità di crittografare un intero disco, Petya era in grado di infettare solo un singolo PC bersaglio. Tuttavia, come visto con la recente epidemia di WannaCry, il ransomware ora ha la capacità di spostarsi da un PC all'altro su una rete locale senza alcun intervento da parte dell'utente. Il nuovo ransomware NotPetya è capace della stessa infestazione laterale della rete, a differenza della versione originale Petya.
Secondo Microsoft, uno dei vettori di attacco di NotPetya è la sua capacità di rubare credenziali o riutilizzare una sessione attiva.
"Perché gli utenti accedono spesso utilizzando account con privilegi di amministratore locale e hanno sessioni attive aperte su tutto più macchine, è probabile che le credenziali rubate forniscano lo stesso livello di accesso che l'utente ha su altre macchine”, riferisce la società. "Una volta che il ransomware ha credenziali valide, esegue la scansione della rete locale per stabilire connessioni valide."
Il ransomware NotPetya può anche utilizzare le condivisioni di file per moltiplicarsi nella rete locale e infestare le macchine che non sono dotate di patch contro la vulnerabilità EternalBlue. Microsoft menziona anche EternalRomance, un altro exploit utilizzato contro il protocollo Server Message Block presumibilmente evocato dalla NSA.
"Questo è un ottimo esempio di due componenti malware che si uniscono per generare malware più dannosi e resistenti", ha affermato Phil Richards, responsabile della sicurezza informatica di Ivanti.
Oltre all’attacco rapido e diffuso di NotPetya, esiste un altro problema: il pagamento. Il ransomware fornisce una finestra popup che chiede alle vittime di pagare $ 300 in Bitcoin utilizzando uno specifico indirizzo Bitcoin, ID portafoglio Bitcoin e numero di installazione personale. Le vittime inviano queste informazioni a un indirizzo e-mail fornito che risponde con una chiave di sblocco. Quell’indirizzo email è stato rapidamente chiuso una volta che il provider di posta elettronica tedesco Posteo ha scoperto il suo intento malvagio.
"Ci siamo resi conto che attualmente i ricattatori di ransomware utilizzano un indirizzo Posteo come mezzo di contatto. Il nostro team anti-abuso lo ha verificato immediatamente e ha bloccato immediatamente l’account”, ha detto la società. "Non tolleriamo l'uso improprio della nostra piattaforma: in questi casi il blocco immediato degli account di posta elettronica utilizzati in modo improprio è l'approccio necessario da parte dei fornitori."
Ciò significa che qualsiasi tentativo di pagamento non andrebbe mai a buon fine, anche se l’obiettivo del malware fosse proprio il pagamento.
Infine, Microsoft indica che l’attacco ha avuto origine dalla società ucraina M.E.Doc, lo sviluppatore del software di contabilità fiscale MEDoc. Microsoft non sembra puntare il dito, ma ha invece dichiarato di avere la prova che “alcune infezioni attive del il ransomware è stato inizialmente avviato dal processo legittimo di aggiornamento di MEDoc.” Questo tipo di infezione, rileva Microsoft, è in crescita tendenza.
Quali sistemi sono a rischio?
Per ora, il ransomware NotPetya sembra concentrarsi sull'attacco ai PC basati su Windows nelle organizzazioni. Ad esempio, l'intero sistema di monitoraggio delle radiazioni situato nella centrale nucleare di Chernobyl lo era messo offline durante l'attacco. Qui negli Stati Uniti, l'attentato ha colpito l’intero sistema sanitario della Heritage Valley, colpendo tutte le strutture che fanno affidamento sulla rete, compresi gli ospedali Beaver e Sewickley in Pennsylvania. L'aeroporto Boryspil di Kiev in Ucraina programma di volo sofferto ritardi e il suo sito web è stato messo offline a causa dell'attacco.
Sfortunatamente, non ci sono informazioni che indichino le versioni esatte di Windows prese di mira dal ransomware NotPetya. Il rapporto sulla sicurezza di Microsoft non elenca versioni specifiche di Windows, anche se, per sicurezza, i clienti dovrebbero presumere che tutte le versioni commerciali e tradizionali di Windows, da Windows XP a Windows 10, rientrano nell'attacco finestra. Dopotutto, anche WannaCry ha preso di mira macchine con Windows XP installato.
Da chi ti proteggi?
Microsoft ha già rilasciato aggiornamenti che bloccano gli exploit EternalBlue ed EternalRomance utilizzati da quest'ultima epidemia di malware. Microsoft ha affrontato entrambi il 14 marzo 2017, con il rilascio di aggiornamento della sicurezza MS17-010. Ciò è avvenuto più di tre mesi fa, il che significa che le aziende attaccate da NotPetya attraverso questo exploit devono ancora aggiornarsi i loro PC. Microsoft suggerisce ai clienti di installare immediatamente l'aggiornamento di sicurezza MS17-010, se non lo hanno già fatto Già.
Installare l'aggiornamento di sicurezza è il modo più efficace per proteggere il tuo PC
Per le organizzazioni che non possono ancora applicare l'aggiornamento di sicurezza, esistono due metodi che impediranno la diffusione del ransomware NotPetya: disabilitando completamente la versione 1 del Server Message Blocke/o creando una regola nel router o nel firewall che blocca il traffico Server Message Block in entrata sulla porta 445.
Ce n'è un altro modo semplice per prevenire l’infezione. A partire da aprendo Esplora file e caricando la cartella della directory di Windows, che in genere è "C:\Windows". Lì dovrai creare un file denominato "perfc" (sì, senza estensione) e impostare le sue autorizzazioni su "Sola lettura" (tramite Generale/Attributi).
Naturalmente, non esiste un'opzione effettiva per creare un nuovo file nella directory di Windows, solo l'opzione Nuova cartella. Il modo migliore per creare questo file è aprire Blocco note e salvare un file "perfc.txt" vuoto nella cartella Windows. Successivamente, elimina semplicemente l'estensione ".txt" nel nome, accetta l'avviso popup di Windows e fai clic con il pulsante destro del mouse sul file per modificare le sue autorizzazioni in "Sola lettura".
Pertanto, quando NotPetya infetta un PC, eseguirà la scansione della cartella Windows alla ricerca di quel file specifico, che in realtà è uno dei suoi nomi di file. Se il file perfc è già presente, NotPetya presuppone che il sistema sia già infetto e diventa dormiente. Tuttavia, con questo segreto ormai pubblico, gli hacker potrebbero tornare al tavolo da disegno e modificare il ransomware NotPetya in modo che dipenda da un file diverso.
Raccomandazioni degli editori
- Questo gioco consente agli hacker di attaccare il tuo PC e non è nemmeno necessario giocarci
- Sii più produttivo con questi suggerimenti e trucchi Slack
