Il ransomware responsabile del recente cyberattacco globale si chiama Petrwrap, una variante del già conosciuto Petya, la cui prima comparsa è avvenuta nel 2016 e si sta attualmente muovendo all'interno delle reti clienti. A differenza del suo predecessore, spiega Check Point, il nuovo malware è in grado di sfruttare l'exploit EternalBlue che ha utilizzato anche WannaCry durante l'attacco di maggio. Esso ha inizialmente preso di mira le istituzioni finanziarie in Ucraina, ma ben presto si è diffuso più ampiamente, in particolare in Europa, nelle Americhe e in Asia. Il ransomware si propaga velocemente attraverso i network nello stesso modo che ha fatto WannaCry il mese scorso.
Tuttavia, a differenza di altri tipi di ransomware tra cui WannaCry, Petya non cripta i file sul computer individualmente: invece blocca tutto il disco rigido della macchina. L'attacco di queste ore ha avuto inizio in Ucraina e ha causato enorme disagi alle infrastrutture critiche del paese, prima di diffondersi ulteriormente in Europa, infettare un numero di imprese, e persino la centrale nucleare di Chernobyl. E' stato ipotizzato che l'origine del contagio fosse un aggiornamento software compromesso in un pacchetto software di contabilità fiscale chiamato MeDoc, che è stato diffuso ai clienti della società, anche se ciò è stato contestato dalla stessa azienda. Il malware disattiva i computer, rendendone inaccessibili i file e chiede un riscatto di 300 dollari in Bitcoin, una richiesta simile a quella del ransomware WannaCry.
Il Team di Check Point Research ha rilevato la distribuzione contemporanea del Loki-Bot, un altro malware distribuito attraverso documenti RTF infetti. Tuttavia, in questa fase, i due attacchi non sembrano essere collegati direttamente. Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, avverte: 1. l'attacco poteva essere evitato… oltre il 93% delle aziende non utilizza nel modo corretto le tecnologie esistenti che possono proteggerle da questi tipi di attacchi, quindi non deve sorprendere se questi attacchi si diffondono così velocemente. Le aziende devono adottare soluzioni che prevengono questi tipi di attacchi e assicurarsi di mantenere e far mantenere dai propri dipendenti i sistemi aggiornati. È fondamentale poi un'eccellente gestione delle patch.
Le imprese e le organizzazioni dovrebbero anche assicurasi di distribuire e applicare le nuove patch non appena saranno disponibili. 2. È giunto il momento per le aziende, i governi e le organizzazioni in genere di includere la cybersecurity nella loro agenda: questi attacchi dimostrano che le aziende devono investire nel futuro della cybersicurezza. È fondamentale che le nuove tecnologie di cybersecurity vengano sfruttate a livello governativo per prevenire il verificarsi di nuovi attacchi. Sappiamo infatti che questi attacchi continueranno a succedere, quindi dobbiamo prendere provvedimenti per proteggere i nostri dati e le nostre organizzazioni. 3. La frammentarietà della sicurezza è parte del problema: ci sono troppe tecnologie disgiunte all'interno di un'azienda che rilevano l'attacco solo dopo che ha colpito.
È necessario che le organizzazioni di tutte le dimensioni e di tutti i settori adottino un'architettura unificata, come per esempio Check Point Infinity, focalizzata sulla prevenzione dell'attacco prima che questo colpisca. Questo attacco è l'ennesima dimostrazione di come: • nuove varianti di malware possono essere create e diffuse su scala globale a una velocità incredibile; • le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete. Questi attacchi hanno il potenziale per creare un danno ingente e massiccio, si vede per esempio l'impatto che ha avuto in Ucraina su alcune infrastrutture critiche e grandi banche. La conseguenza è un rapidissimo propagarsi delle infezioni che hanno un effetto drammatico sulle nostre vite quotidiane, con il blocco dei servizi e delle nostre routine.
Tra le cose che più sorprendono Check Point è il fatto che spesso le organizzazioni non applicano le patch immediatamente, anche se come nel caso di Petya e WannaCry, erano disponibili da mesi. Le imprese devono anche concentrarsi sulla prevenzione degli attacchi prima che avvengano. In questi tipi di attacchi, rilevando l'attacco dopo che è accaduto è semplicemente troppo tardi: il danno è già fatto. Next Generation Threat Prevention è essenziale, per ricercare, bloccare e filtrare i contenuti dei file sospetti prima che raggiungano le reti. È anche essenziale che il personale aziendale sia istruito riguardo ai potenziali rischi legati alle e-mail provenienti da ignoti, così come e-mail sospette che sembrano arrivare da contatti conosciuti. Un'analisi completa di quello che è successo nelle scorse ore è disponibile qui.
Tuttavia, a differenza di altri tipi di ransomware tra cui WannaCry, Petya non cripta i file sul computer individualmente: invece blocca tutto il disco rigido della macchina. L'attacco di queste ore ha avuto inizio in Ucraina e ha causato enorme disagi alle infrastrutture critiche del paese, prima di diffondersi ulteriormente in Europa, infettare un numero di imprese, e persino la centrale nucleare di Chernobyl. E' stato ipotizzato che l'origine del contagio fosse un aggiornamento software compromesso in un pacchetto software di contabilità fiscale chiamato MeDoc, che è stato diffuso ai clienti della società, anche se ciò è stato contestato dalla stessa azienda. Il malware disattiva i computer, rendendone inaccessibili i file e chiede un riscatto di 300 dollari in Bitcoin, una richiesta simile a quella del ransomware WannaCry.
Il Team di Check Point Research ha rilevato la distribuzione contemporanea del Loki-Bot, un altro malware distribuito attraverso documenti RTF infetti. Tuttavia, in questa fase, i due attacchi non sembrano essere collegati direttamente. Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, avverte: 1. l'attacco poteva essere evitato… oltre il 93% delle aziende non utilizza nel modo corretto le tecnologie esistenti che possono proteggerle da questi tipi di attacchi, quindi non deve sorprendere se questi attacchi si diffondono così velocemente. Le aziende devono adottare soluzioni che prevengono questi tipi di attacchi e assicurarsi di mantenere e far mantenere dai propri dipendenti i sistemi aggiornati. È fondamentale poi un'eccellente gestione delle patch.
Le imprese e le organizzazioni dovrebbero anche assicurasi di distribuire e applicare le nuove patch non appena saranno disponibili. 2. È giunto il momento per le aziende, i governi e le organizzazioni in genere di includere la cybersecurity nella loro agenda: questi attacchi dimostrano che le aziende devono investire nel futuro della cybersicurezza. È fondamentale che le nuove tecnologie di cybersecurity vengano sfruttate a livello governativo per prevenire il verificarsi di nuovi attacchi. Sappiamo infatti che questi attacchi continueranno a succedere, quindi dobbiamo prendere provvedimenti per proteggere i nostri dati e le nostre organizzazioni. 3. La frammentarietà della sicurezza è parte del problema: ci sono troppe tecnologie disgiunte all'interno di un'azienda che rilevano l'attacco solo dopo che ha colpito.
È necessario che le organizzazioni di tutte le dimensioni e di tutti i settori adottino un'architettura unificata, come per esempio Check Point Infinity, focalizzata sulla prevenzione dell'attacco prima che questo colpisca. Questo attacco è l'ennesima dimostrazione di come: • nuove varianti di malware possono essere create e diffuse su scala globale a una velocità incredibile; • le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete. Questi attacchi hanno il potenziale per creare un danno ingente e massiccio, si vede per esempio l'impatto che ha avuto in Ucraina su alcune infrastrutture critiche e grandi banche. La conseguenza è un rapidissimo propagarsi delle infezioni che hanno un effetto drammatico sulle nostre vite quotidiane, con il blocco dei servizi e delle nostre routine.
Tra le cose che più sorprendono Check Point è il fatto che spesso le organizzazioni non applicano le patch immediatamente, anche se come nel caso di Petya e WannaCry, erano disponibili da mesi. Le imprese devono anche concentrarsi sulla prevenzione degli attacchi prima che avvengano. In questi tipi di attacchi, rilevando l'attacco dopo che è accaduto è semplicemente troppo tardi: il danno è già fatto. Next Generation Threat Prevention è essenziale, per ricercare, bloccare e filtrare i contenuti dei file sospetti prima che raggiungano le reti. È anche essenziale che il personale aziendale sia istruito riguardo ai potenziali rischi legati alle e-mail provenienti da ignoti, così come e-mail sospette che sembrano arrivare da contatti conosciuti. Un'analisi completa di quello che è successo nelle scorse ore è disponibile qui.
Via: Team Lewis
Nessun commento:
Posta un commento