Stiamo assistendo all’epidemia di un nuovo tipo di cryptomalware. I nostri esperti l’hanno chiamato ExPetr (altri lo chiamano Petya, PetrWrap, ecc). La differenza essenziale di questo nuovo malware è il fatto che questa volta i criminali hanno scelto i loro obiettivi con estrema precisione: la maggior parte delle vittime sono aziende, non consumatori.
SCARICA GRATUITAMENTE IL KASPERSKY ANTI- RANSOMWARE TOOL PER PROTEGGERE LA TUA AZIENDA DA ATTACCHI RANSOMWARE
La parte peggiore è che molte altre infrastrutture critiche sono vittime di questo malware. Ad esempio, alcuni voli hanno subito ritardi all’aeroporto Boryspil di Kiev a causa dell’attacco. E la situazione continua a peggiorare: il sistema di controllo delle radiazioni della nota centrale nucleare di Chernobyl si è bloccato per lo stesso motivo.
Perché i sistemi delle infrastrutture critiche continuano ad essere colpite dai cryptomalware? Perché sono collegati direttamente alle reti aziendali o hanno accesso diretto a Internet.
Cosa fare
Proprio come WannaCry, ci troviamo davanti a due diversi problemi: penetrazione iniziale del malware nell’infrastruttura dell’azienda e la diffusione al suo interno. Questi due problemi dovrebbero essere trattati separatamente.
Penetrazione iniziale
I nostri esperti indicano diversi percorsi attraverso cui il malware penetra nella rete. In alcuni casi, questo si è servito di siti pericolosi (infezione drive-by); gli utenti hanno ricevuto il malware camuffato da aggiornamento del sistema. In altri casi, l’infezione è stata diffusa dagli aggiornamenti del software di terze parti (ad esempio, attraverso il software di contabilità ucraino chiamato M.E.Doc). In altre parole, non esiste un unico punto d’accesso prevedibile da controllare.
Abbiamo alcuni consigli per evitare che il malware penetri nella vostra infrastruttura:
- Comunicate ai vostri dipendenti di non aprire mai allegati sospetti o di non cliccare sui link nelle mail (sembra scontato, ma la gente continua a farlo);
- Assicuratevi che tutti i sistemi connessi a Internet siano dotati di soluzioni di sicurezza aggiornate e che abbiano le componenti d’analisi comportamentale;
- Controllate che le componenti critiche importanti delle soluzioni di sicurezza siano attivate (per i prodotti di Kaspersky Lab, assicuratevi che la rete di intelligence su cloud Kaspersky Security Network e il sistema comportamentale System Watcher siano attivi);
- Aggiornate regolarmente le soluzioni di sicurezza;
- Utilizzate strumenti per controllare e monitorare le soluzioni di sicurezza di un singolo terminale amministrativo (e non permettete che gli impiegati ne modifichino le impostazioni).
Come ulteriore misura di protezione (soprattutto se non state utilizzando i prodotti Kaspersky Lab), potete installare il nostro Kaspersky Anti-Ransomware Tool gratuito, compatibile con molte altre soluzioni di sicurezza.
Dopo aver messo le mani su un singolo sistema, ExPetr è molto meglio di WannaCry quando si tratta di diffondersi all’interno di una rete locale. Questo perché possiede un’ampia gamma di funzionalità per questo scopo specifico. In primo luogo, utilizza almeno due exploit: EternalBlue modificato (utilizzato anche da WannaCry) ed EternalRomance (un altro exploit di TCP porta 445). In secondo luogo, quando infetta un sistema in cui un utente possiede accesso come amministratore, inizia a diffondersi utilizzando la tecnologia di Windows Management Instrumentation o lo strumento di controllo del sistema remoto PsExec.
Per evitare la diffusione del malware nella vostra rete (e soprattutto nei sistemi dell’infrastruttura critica), dovreste:
- Isolare i sistemi che richiedono una connessione Internet attiva in un segmento di rete diverso;
- Dividere la rete restante in una sottorete o in diverse sottoreti virtuali con connessioni limitate, collegando solo quei sistemi che le richiedono per i processi tecnologici;
- Seguire il consiglio degli esperti ICS CERT di Kaspersky Lab fornito dopo l’epidemia di WannaCry (diretto soprattutto alle aziende industriali);
- Assicurarvi di installare gli aggiornamenti di sicurezza critici di Windows. Particolarmente importante è l’aggiornamento MS17-010 che risolve le vulnerabilità diffuse da EternalBlue ed EternalRomance;
- Isolare i server di backup dal resto di reti e non utilizzare la connessione ai drive remoti sui server di backup;
- Proibire l’esecuzione di un file chiamato dat utilizzando il Controllo Applicazioni di Kaspersky Endpoint Security per la Business suite o la funzionalità Windows AppLocker;
- Per quanto riguarda le infrastrutture che contengono sistemi incorporati multipli, utilizzare soluzioni di sicurezza specializzati come Kaspersky Embedded Security Systems;
- Configurare la modalità Default Deny come ulteriore misura di protezione sui sistemi in cui è possibile farlo (ad esempio, su computer con un software raramente modificato). Tutto questo può effettuarsi all’interno della componente Controllo Applicazioni di Kaspersky Endpoint Security per la Business suite.
Come sempre, vi consigliamo vivamente di utilizzare un metodo di sicurezza delle informazioni multilivello, incorporando gli aggiornamenti automatici del software (incluso il sistema operativo), una componente antiransomware e una componente che controlli tutti i processi all’interno del sistema operativo.
Infine, anche se in genere non consigliamo di pagare il riscatto, capiamo che alcune aziende credono di non avere altra scelta. Ad ogni modo, se i vostri dati sono stati già colpiti dal ransomware ExPetr, non dovreste pagare in alcun caso.
I nostri esperti hanno scoperto che questo malware non possiede alcun meccanismo per salvare il codice identificativo del computer. Senza questo, i responsabili della minaccia non sono in grado di estrarre le informazioni necessarie di cui si ha bisogno per decriptare i file. In poche parole, non sono in grado di aiutare le vittime a recuperare i dati.
Webinar d’emergenza su Petya/ExPetr
Per aiutare le aziende a conoscere il malware ExPetr e a difendersi da esso, i nostri esperti hanno organizzato un webinar d’emergenza. Juan Andres Guerrero-Saade, ricercatore senior di sicurezza del nostro Global Research and Analysis Team (GReAT) e Matt Suiche del Comae Technologies hanno presentato le ultime informazioni su questa minaccia e hanno spiegato il motivo per cui non si tratta di un ransomware ma di un wiper utilizzato per effettuare sabotaggi.