NotPetya: il ransomware che ha bloccato l’Europa
Il 27 giugno è stata rilevata una grande quantità di macchine infettate da un malware. E’ stato chiamato NotPetya in ricordo del ransomware Petya, nota minaccia che lo scorso anno fece diversi danni.
Vittime dell’attacco sono state diverse nazioni europee tra cui Spagna, Francia, Italia, e in settori eterogenei, ma a fare scalpore è stata soprattutto la quantità di aziende colpite in Ucraina, tra cui una centrale di distribuzione di energia e l’azienda che verifica il livello di radiazioni nell’aria nei pressi di Cernobyl.
Sulla scia di WannaCry anche NotPetya si diffonde tramite network ed email sfruttando una vulnerabilità di Windows, la stessa utilizzata in precedenza da WannaCry, SMB Eternal Exploit.
Una volta riuscito ad entrare nella macchina, il NotPetya, si muove all’interno della rete e tramite un tool estrae le credenziali di amministratore, così da riuscire ad avere privilegi e fare ingenti danni; inoltre cripta il Master Boot Record così che la macchina non sia più del tutto accessibile.
Sconsigliamo di pagare il riscatto in Bitcoin, non solo perché vi indicherebbe come preda interessante, ma soprattutto perché l’account indicato nella schermata che compare è stato chiuso dopo poche ore dalla diffusione del malware.
Tra le aziende colpite ci sono veri e propri colossi di svariati settori, indice del fatto che non si sta ancora dando sufficiente importanza alla sicurezza informatica neanche nelle realtà più grandi.
Consigliamo un’attenta analisi della propria infrastruttura di sicurezza che può aiutare a capire in quali punti è necessario intervenire per mitigare il rischio di attacchi come quello sopracitato.
La tecnologia inoltre che può aiutare in questi casi è sicuramente FireEye, l’azienda che dal 2004 si occupa esclusivamente di minacce non riconosciute da firme e che, grazie ad una macchina virtuale di tecnologia proprietaria, testa la potenziale minaccia che tenta di colpire la vostra azienda in diversi sistemi operativi con diverse versioni, emulando prima dell’utente cosa scatenerà il file sospetto.
Giorgio Giussani – 28/06/2017