l 27 di giugno parecchie società sparse per il mondo (fra cui alcuni colossi come la farmaceutica Merck e la società di spedizioni Maersk) hanno denunciato di aver subito un massiccio attacco da virus
ransomware.
Pare che l’attacco originale abbia colpito l’Ucraina, paralizzando l’operatività di supermercati e banche, e che ora il virus si stia diffondendo a macchia d’olio un po’ in tutto il mondo.
I laboratori
Webroot hanno rilevato la prima minaccia alle 10:00 del mattino (orario UTC) del 27 giugno: da quel momento tutti gli utilizzatori di Webroot
sono protetti.
In questo post parlerò di:
- Cosa sappiamo
- Come scopro se sono protetto
- Come proteggersi in maniera corretta
- Come proteggersi mettendoci una pezza: il vaccino
Cosa sappiamo
Pare assodato che il virus in questione sia una variante di
Petya, ransomware immesso sul "mercato" circa un anno fa.
La modifica principale, rispetto al ransomware originale, consiste nel fatto che l’attacco sfrutta
EternalBlue per infettare i sistemi
Windows, ossia esattamente la
stessa tecnica utilizzata da
WannaCry nell’ormai (sic!) dimenticato attacco di qualche settimana fa.
Una seconda differenza rispetto al virus originale è il modo con cui vengono presi in ostaggio i file: l’originale Petya cifrava i file in base alle estensioni dei file stessi; questa variante invece cifra la
Master File Table (MFT), ossia in pratica si sostituisce al piccolo pezzo di codice che fa avviare il
computer rendendolo di fatto
inutilizzabile.
Al
riavvio successivo all’infezione, infatti, il sistema
non si avvia normalmente ma compare una scritta che informa delle cifratura dei dati e del riscatto da pagare.
Benché, come detto, venga sfruttata la medesima vulnerabilità che ha reso celebre WannaCry, questa variante di Petya, pare utilizzare istruzioni specifiche per
infettare quante più macchine possibili.
Il virus infatti utilizza
WMI (Windows Management Instrumentation) per cercare di attaccare le macchine in rete usando delle credenziali acquisite sulla macchina infetta.
Una
curiosità per gli "smanettoni": una volta che il sistema viene riavviato, dopo aver contratto il virus, il PC sembra compiere alcune operazioni diagnostiche (
chkdsk) che i tecnici informatici conoscono bene: tuttavia non si tratta di un’operazione diagnostica ma di una conferma che i file sono stati cifrati.
L’immagine è tratta da un tweet del primo ministro Ucraino che denuncia l’attacco in corso.
Dopo che i file sono stati cifrati,
non c’è modo per le vittime di riottenere i propri file se non pagando il riscatto (sempre sconsigliato!), contattando uno degli indirizzi che compaiono nella schermata con la richiesta... a meno che le vittime non abbiamo un
backup (affidabile) e possano quindi recuperare i file mettendo in pista una procedura di
disaster recovery.
Come scopro se sono protetto?
Se la tua macchine o le macchine che gestisci sono soggette a regolare patch management, non dovresti correre grandi rischi.
Tuttavia se volessi avere la certezza assoluta e capire se sei immune o vulnerabile, puoi scaricare un semplice
programma scritto da Webroot che ti dice chiaramente se sei protetto o meno.
Per un sistema protetto, l'output del programma è questo.
Come proteggersi in maniera corretta
La cosa
incredibile è che, nonostante la risonanza che ha avuto
WannaCry, le
aziende non hanno aggiornato i propri sistemi per mettere una toppa alla vulnerabilità EternalBlue legata al protocollo SMB (versione 1.0) di Windows.
Microsoft ha rilasciato il 14 Marzo la patch per toppare la falla, ed è disponibile
qui.
Oltre ad aver rilasciato la patch a suo tempo, Microsoft ha dato anche il proprio contributo per arginare il problema: si è affrettata infatti a rilasciare delle patch anche per i
sistemi operativi non supportati (XP, Vista, 2003).
Non importa quale sistema utilizzi per
installare le patch, ma installale, questa in particolare.
Questa forse è la principale lezione da imparare, dopo WannaCry e Petya: il processo di
patch management è
parte integrante e
insostituibile di un corretto approccio alla
sicurezza.
[aggiornamento del 29 giugno]
Come proteggersi mettendoci una pezza: il vaccino
In rete ormai si trova di tutto in merito a questo "attacco". A partire dal nome del virus: c'è chi dice Petya, Not Petya/Petna e altri appellativi ancora.
Pare assodato che sia possibile arginare la diffusione del virus con un
vaccino.
E' sufficiente seguire pochi passi
- andare nella cartella c:\windows;
- creare 3 file chiamati rispettivamente perfc, perfc.dll, perfc.dat;
- metterli in sola lettura.