Dopo WannaCry nuovi attacchi informatici scatenano il panico

4 luglio 2017

Ancora una volta, la battaglia nel cyberspazio conosce una nuova evoluzione con l’ultimo massiccio attacco globale partito dall’Ucraina per diffondersi in Francia, Germania, Danimarca, Usa, Russia, Spagna, India e con conseguenze importanti anche nel nostro Paese. L’Italia, infatti, è il secondo paese più colpito da questo Ransomware ed un esempio ne è la multinazionale Maschio Gaspardo che è stata addirittura costretta a chiudere stabilimenti (in Veneto e Friuli-Venezia Giulia) mandando a casa 650 dipendenti.

Da martedì 27 giugno, infatti, la Maschio Gaspardo ha deciso di chiudere tre stabilimenti per evitare il contagio nelle altre sedi produttive e nelle filiali commerciali che l’impresa ha in tutto il Continente, compreso in Ucraina che è il paese dal quale è stato sferrato l’attacco hacker che ha messo in ginocchio multinazionali, ospedali, sistemi di trasporto in tutto il mondo ed anche la centrale nucleare di Chernobyl.

Il virus si è presentato sui computer con la schermata «Ooops, your files have been encrypted!» («ops, i tuoi dati sono stati criptati») e la richiesta di un pagamento in bitcoin, 300$ in questo caso, per sbloccare il sistema.

 

A quel punto, i responsabili dei sistemi informativi della Maschio Gaspardo hanno deciso di fermare per alcuni giorni alcune linee produttive in via precauzionale, per valutare la situazione e programmare un pronto ripristino di tutte le funzionalità.

L’infezione del ransomware si espande anche nella logistica e dopo la compagnia marittima danese Maersk tocca a TNT Express annunciare di avere subito danni. Da ieri infatti, a causa del mancato funzionamento dei sistemi informatici, sembra siano rimasti fermi 70 autisti, 15 operatrici, 30 addetti all’assistenza e circa 80 operatori della logistica. Riportiamo anche il messaggio che TNT ha pubblicato nella home page del loro sito.

Questo ovviamente è solo un esempio di aziende colpite da questo attacco, ma siamo sicuri che in tutta Italia saranno diverse le PMI colpite dal ransomware e messe in condizione di non lavorare. Una situazione che porterà sicuramente a gravi danni economici, il cui ammontare è difficile da quantificare.

IL RANSOMWARE

Secondo gli esperti potrebbe non essere Petya, come asserito inizialmente, ma un ransomware totalmente nuovo al quale sono già stati assegnati molti nomi differenti. In ogni caso, che si chiami Petya, NotPetya, Petrwrap, exPetr o Nyetya, una cosa è certa: il virus col quale è stato sferrato l’attacco è un ransomware, la tipologia che tiene in “ostaggio” i dati di un pc criptandoli e chiedendo un riscatto in Bitcoin con la promessa di sbloccarli. C’è anche un altro elemento su cui tutti gli analisti sembrano essere d’accordo: il virus è stato armato con due strumenti rubati alla Nsa americana: EternalBlue, già usato per WannaCry, a cui si è aggiunto EternalRomance, che lo ha reso più insidioso.

Questi due exploit sfruttano la comunicazione di rete che viaggia tramite il protocollo SMB, lo stesso grazie al quale si possono condividere file e stampanti tra più PC in una rete locale, per far passare all’interno l’infezione.
L’origine dell’ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software (MeDoc) ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di Wannacry il “nuovo” Petya cerca invece alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Parliamo di strumenti per la gestione remota dei computer come Windows Management Instrumentation (WMI) e PsExec. Fatto questo questa evoluzione di Petya ha poi la medesima dinamica dei ramsonware “classici”: riavvia il PC ed una volta terminato il processo di cifratura rende il computer inacessibile chiedendo un riscatto per renderne disponibile il contenuto, nella fattispecie 300 dollari in bitcoin.

COME PROTEGGERSI

Innanzitutto consigliamo di non pagare alcun riscatto poiché non c’è assolutamente garanzia di poter ripristinare l’utilizzo del computer.
Nonostante il precedente ransomware Wannacry abbia causato molti danni, vi sono tuttora aziende che non hanno effettuato le necessarie patch contro gli exploit EternalBlue / EternalRomance. E’ di fondamentale importanza, quindi, aggiornare il più rapidamente possibile i sistemi operativi.

Un’altra soluzione che suggeriamo di adottare, visto che questo tipo di attacchi porta alla perdita dei dati, è effettuare il backup regolarmente e tenere sempre una copia del backup off-site ed utilizzare una soluzione efficace di sicurezza, come un Next-Generation Firewall (NGFW) che garantisce un grado più elevato di sicurezza.

I firewall SonicWALL, ad esempio, con la protezione fornita dal Capture Advance Threat Protection (la soluzione sandbox multi-engine esclusiva di SonicWALL) consentono di controllare ogni singolo file che entra all’interno della rete per scoprire e bloccare qualsiasi minaccia. I SonicWALL Capture Labs avevano già identificato l’attacco e hanno rilasciato in anticipo una protezione per tutti i clienti con firewall SonicWALL e sottoscrizione Gateway Security attiva. Tutte le versioni note di questo codice malevolo sono bloccate dall’accedere alle reti di tutti quei clienti protetti dai NGFW di SonicWALL (qui maggiori informazioni).

CONSIDERAZIONI ED EVENTO BEANTECH

La privacy e la sicurezza dei dati non sono la stessa cosa ma si intersecano nel punto in cui le informazioni personali necessitano di protezione, di conseguenza è fondamentale attrezzarsi con le giuste precauzioni in ambito di sicurezza informatica per garantire il più elevato grado di sicurezza/protezione possibile. Tutto questo acquisisce ancor più importanza in vista del nuovo regolamento europeo sulla privacy (GDRP), che sarà effettivo dal 25 maggio 2018.

A tal proposito beanTech e SonicWALL organizzano una cena evento dove si parlerà proprio di questo e delle novità in tema di sicurezza e protezione dei dati. Giovedì 28 settembre, nella magica atmosfera dell’Almar Jesolo Resort & Spa a Jesolo, il posto ideale per approfondire le proprie conoscenze e vivere un’esperienza casual chic a pochi metri dal mare.

beantech

beantech

beanTech Srl è un’azienda con decennale esperienza nel settore dell’ICT, specializzata nell’integrazione di soluzioni informatiche (System Integration) e nell’attività di ricerca connessa allo sviluppo software (Laboratorio di Ricerca riconosciuto dal MIUR, Ministero per l’Istruzione, Università e Ricerca).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *