Cos’è successo e come le aziende possono proteggersi?

In un primo momento, i recenti attacchi informatici sembravano essere un follow-up del recente attacco WannaCry. Come in maggio, i cybercriminali hanno utilizzato dei ransomware per crittografare i dati aziendali e successivamente richiedere 300 Bitcoin per la decrittografia. Tuttavia, anche dopo il pagamento del riscatto, l'indirizzo email che doveva inviare la chiave di decrittografia alle vittime non era valido. Immediatamente, gli esperti di sicurezza hanno sospettato che questa nuova variante di Petya usasse il riscatto solo come pretesto - la vera intenzione sembrava politicamente motivata. Il gruppo di cybercriminali non è riuscito a creare un profitto da questa serie di attacchi ma piuttosto sono riusciti a causare il caos e ad arrestare le attività commerciali delle società.

Ma cos’è successo esattamente?

L'Ucraina sembra essere stata il bersaglio principale di questi attacchi in quanto è stata colpita per prima e più duramente. Il ransomware si è diffuso tramite un aggiornamento a un software fiscale ucraino chiamato MeDoc. Tutti coloro che sono tenuti a pagare le tasse in Ucraina lo utilizzano, comprese le grandi società multinazionali. Un bersaglio enorme a tutti gli effetti! E presumibilmente è la prima volta che un ransomware si è diffuso tramite un aggiornamento software. Come sia stato effettivamente possibile compromettere l'aggiornamento software rimane ancora poco chiaro. Tuttavia, ci sono alcune teorie:

- I cybercriminali hanno ottenuto l'accesso al sistema di aggiornamento MeDoc

- Le richieste di aggiornamento delle vittime sono state reindirizzate a un server controllato dai criminali

- Accesso all'aggiornamento tramite un attacco man-in-the-middle

Gli esperti di sicurezza e i ricercatori in realtà chiamano questa variante di attacco NotPetya. Ma proprio come WannaCry, anche NotPetya utilizza una vulnerabilità nota per diffondersi in tutte le rispettive reti: EternalBlue. Questo è, come potreste ricordare, una vulnerabilità nel protocollo SMB di Microsoft (Server Message Block, un protocollo per rendere disponibili file e stampanti in una rete locale).

Una volta che NotPetya ha infettato con successo un PC, esso viene riavviato e tutti i dati sull'unità di sistema e l'MBR (Master Boot Record) vengono crittografati.

Suggerimenti per quando sospetti un’infezione:

- Quando il PC si spegne per nessun motivo, interrompere l'alimentazione. In questo modo si potrebbe evitare la crittografia dei dati.

- Tenere gli hard disk criptati. Esiste la possibilità che la chiave di decodifica venga scoperta e che i file crittografati possano essere recuperati.

Ecco alcune raccomandazioni generali per la sicurezza della rete:

- Tieni sempre i tuoi sistemi aggiornati.

- La maggior parte dei malware inizia l’infezione tramite un’email o un browser: Iniziate quindi ad usare la nostra soluzione che fornisce un browser sicuro, Browser in the Box.

- Esaminare le impostazioni del firewall o utilizzare i next generation firewall che supportano il controllo delle licenze di bordo e l'ispezione approfondita dei pacchetti come i nostri gateprotect Firewalls.

ULTIMI AGGIORNAMENTI