l 27 di giugno parecchie società sparse per il mondo (fra cui alcuni colossi come la farmaceutica Merck e la società di spedizioni Maersk) hanno denunciato di aver subito un massiccio attacco da virus ransomware.
Pare che l’attacco originale abbia colpito l’Ucraina, paralizzando l’operatività di supermercati e banche, e che ora il virus si stia diffondendo a macchia d’olio un po’ in tutto il mondo.
I laboratori Webroot hanno rilevato la prima minaccia alle 10:00 del mattino (orario UTC) del 27 giugno: da quel momento tutti gli utilizzatori di Webroot sono protetti.
In questo post parlerò di:
- Cosa sappiamo
- Come scopro se sono protetto
- Come proteggersi in maniera corretta
- Come proteggersi mettendoci una pezza: il vaccino
Cosa sappiamo
Pare assodato che il virus in questione sia una variante di Petya, ransomware immesso sul “mercato” circa un anno fa.
La modifica principale, rispetto al ransomware originale, consiste nel fatto che l’attacco sfrutta EternalBlue per infettare i sistemi Windows, ossia esattamente la stessa tecnica utilizzata da WannaCry nell’ormai (sic!) dimenticato attacco di qualche settimana fa.
Una seconda differenza rispetto al virus originale è il modo con cui vengono presi in ostaggio i file: l’originale Petya cifrava i file in base alle estensioni dei file stessi; questa variante invece cifra la Master File Table (MFT), ossia in pratica si sostituisce al piccolo pezzo di codice che fa avviare il computer rendendolo di fatto inutilizzabile.
Al riavvio successivo all’infezione, infatti, il sistema non si avvia normalmente ma compare una scritta che informa delle cifratura dei dati e del riscatto da pagare.
Benché, come detto, venga sfruttata la medesima vulnerabilità che ha reso celebre WannaCry, questa variante di Petya, pare utilizzare istruzioni specifiche per infettare quante più macchine possibili.
Il virus infatti utilizza WMI (Windows Management Instrumentation) per cercare di attaccare le macchine in rete usando delle credenziali acquisite sulla macchina infetta.
Una curiosità per gli “smanettoni”: una volta che il sistema viene riavviato, dopo aver contratto il virus, il PC sembra compiere alcune operazioni diagnostiche (chkdsk) che i tecnici informatici conoscono bene: tuttavia non si tratta di un’operazione diagnostica ma di una conferma che i file sono stati cifrati.
L’immagine è tratta da un tweet del primo ministro Ucraino che denuncia l’attacco in corso.
Dopo che i file sono stati cifrati, non c’è modo per le vittime di riottenere i propri file se non pagando il riscatto (sempre sconsigliato!), contattando uno degli indirizzi che compaiono nella schermata con la richiesta… a meno che le vittime non abbiamo un backup (affidabile) e possano quindi recuperare i file mettendo in pista una procedura di disaster recovery.
Come scopro se sono protetto?
Se la tua macchine o le macchine che gestisci sono soggette a regolare patch management, non dovresti correre grandi rischi.
Tuttavia se volessi avere la certezza assoluta e capire se sei immune o vulnerabile, puoi scaricare un semplice programma scritto da Webroot che ti dice chiaramente se sei protetto o meno.
Per un sistema protetto, l’output del programma è questo.
Come proteggersi in maniera corretta
La cosa incredibile è che, nonostante la risonanza che ha avuto WannaCry, le aziende non hanno aggiornato i propri sistemi per mettere una toppa alla vulnerabilità EternalBlue legata al protocollo SMB (versione 1.0) di Windows.
Microsoft ha rilasciato il 14 Marzo la patch per toppare la falla, ed è disponibile qui.
Oltre ad aver rilasciato la patch a suo tempo, Microsoft ha dato anche il proprio contributo per arginare il problema: si è affrettata infatti a rilasciare delle patch anche per i sistemi operativi non supportati (XP, Vista, 2003).
Non importa quale sistema utilizzi per installare le patch, ma installale, questa in particolare.
Questa forse è la principale lezione da imparare, dopo WannaCry e Petya: il processo di patch management è parte integrante e insostituibile di un corretto approccio alla sicurezza.
[aggiornamento del 29 giugno]
Come proteggersi mettendoci una pezza: il vaccino
In rete ormai si trova di tutto in merito a questo “attacco”. A partire dal nome del virus: c’è chi dice Petya, Not Petya/Petna e altri appellativi ancora.
Pare assodato che sia possibile arginare la diffusione del virus con un vaccino.
E’ sufficiente seguire pochi passi
- andare nella cartella c:\windows;
- creare 3 file chiamati rispettivamente perfc, perfc.dll, perfc.dat;
- metterli in sola lettura.