Tags Posts tagged with "Petya"

Petya

0 1044

“La tecnologia è una cosa strana. Ti porta grandi doni con una mano, e con l’altra ti pugnala alle spalle”, scrisse lo scrittore e scienziato C. P. Snow sul New York Times, nel 1971. Suona ancora vero oggi. Ogni nuovo strumento o tecnologia che usiamo introduce nuove vulnerabilità, dando ai criminali informatici opportunità di guadagno economico, e ai gruppi con sfondo politico nuove occasioni per spiare gli individui o causare disagi e danni agli avversari.

In questa continua corsa agli armamenti di sicurezza, quali saranno le prossime vulnerabilità delle nostre reti e dei nostri dispositivi? Ecco le previsioni per il 2019 di Check Point® Software Technologies Ltd., principale fornitore di soluzioni di cybersecurity a livello globale.

Ransomware e malware si moltiplicano

Il ransomware è stato una gallina dalle uova d’oro per i criminali, oltre che un diversivo per scopi più distruttivi: ad esempio, Petya sembrava un ransomware ma causava danni bloccando i dati. Tutti i tipi di utenti, dai consumatori alle aziende, sono diventati preda dei ransomware, creando il ragionevole sospetto che questi continueranno a crescere. Possiamo aspettarci di vedere attacchi su larga scala e ben orchestrati in tutto il mondo sulla falsariga dell’attacco di WannaCry che si è verificato a maggio del 2017. Possiamo anche aspettarci di vedere i criminali diventare creativi nelle loro tattiche di estorsione, come ad esempio “se contagi due contatti, ti restituiremo i dati a un costo inferiore”.

Nel complesso, dal momento che i sistemi operativi rafforzano la loro sicurezza, prevediamo un calo nell’uso degli exploit per colpire le vulnerabilità, a favore di un aumento nell’uso di tecniche di hacking di base basate sull’errore umano. Tuttavia, stanno emergendo attacchi mirati che utilizzano sofisticati strumenti sponsorizzati da alcune nazioni, e il tasso di attacco probabilmente continuerà a salire.

Preoccupazioni per il cloud

L’utilizzo del server-less computing e del data storage nel cloud sta diventando sempre più diffuso nel mondo degli affari. Tuttavia, vale la pena ricordare che la tecnologia cloud e l’infrastruttura che la supporta è relativamente nuova e in continua evoluzione e che esistono ancora gravi problemi di sicurezza che forniscono una backdoor agli hacker per accedere ai sistemi aziendali e diffondersi rapidamente attraverso le reti. Idee sbagliate circa le responsabilità e il livello di sicurezza necessario per operare in sicurezza all’interno di un ambiente cloud sono comuni, così come le errate configurazioni che lasciano la porta aperta alle violazioni.

Durante il 2017, oltre il 50% delle violazioni alla sicurezza gestite dal team di risposta agli incidenti di Check Point era correlato al cloud e oltre il 50% riguardavano la violazione di account di app SaaS o server hosted. Con l’aumento dell’utilizzo di servizi di condivisione di file basati su cloud, le perdite di dati continueranno a essere una delle principali preoccupazioni per le organizzazioni che si spostano verso il cloud. Questo si è visto anche di recente quando una violazione della società di consulenza Deloitte ha permesso agli hacker di accedere ai dati riservati di diversi clienti.

La crescente adozione di email basate su SaaS, come Office 365 e la G-Suite di Google, è un obiettivo attraente per i cybercriminali.

Incidenti mobile

I dispositivi mobile fanno parte del tessuto IT aziendale ovunque, eppure continuano a essere raramente, se non mai, protetti in modo appropriato, nonostante il rischio che presentano. Continueremo a scoprire difetti nei sistemi operativi mobile che evidenziano la necessità per le organizzazioni di adottare un approccio più serio alla protezione della loro infrastruttura mobile e dei dispositivi endpoint contro malware, spyware e altri attacchi informatici.

I malware mobile continueranno a proliferare, in particolare i malware per il mobile banking, dato che l’industria del Malware as a Service (MaaS) continua a crescere. Il MaaS consente, infatti, agli autori delle minacce di ridurre gli ostacoli tecnici necessari per lanciare un attacco. I cryptominer sono saliti alla ribalta nel 2017 e possiamo aspettarci di vedere altri malware crittografici rilasciati su dispositivi mobile per il mining di criptovalute nel prossimo futuro.

Infrastrutture critiche

Quasi tutte le infrastrutture sono infatti state progettate e costruite prima dell’avvento della minaccia di attacchi informatici e, per questo motivo, anche i più semplici principi di sicurezza informatica non sono stati presi in considerazione all’interno dei progetti. Indipendentemente dal fatto che l’obiettivo coinvolga reti telefoniche/mobile, reti elettriche, centrali elettriche o impianti di trattamento delle acque, la nostra fortuna è che non ci sia stato un attacco su vasta scala e di successo su infrastrutture critiche che impattano su milioni di persone… ancora. L’attacco DDoS contro il servizio di domain directory di DynDNS nel 2016, che ha causato un’interruzione di Internet e che ha colpito utenti di grandi aziende del Web come Netflix e Amazon, offre un’idea di ciò che è possibile fare con un attacco informatico a un’infrastruttura critica. Un attacco di questo tipo e scala avverrà, e non sarebbe sorprendente vederlo accadere nei prossimi 12 mesi.

Internet delle cose (insicure)

Dal momento che sempre più dispositivi smart vengono integrati nel tessuto delle reti aziendali, le organizzazioni dovranno iniziare a utilizzare migliori pratiche di sicurezza per le proprie reti e i dispositivi stessi. La potenziale superficie di attacco si espande con la crescita dell’utilizzo dei dispositivi IoT e gli attacchi ai dispositivi IoT compromessi continueranno a crescere. Vedremo nuove varianti degli attacchi Mirai e BlueBorne nel 2018. Migliori pratiche di sicurezza nell’IoT saranno fondamentali per prevenire attacchi su larga scala e potrebbero persino essere imposte da normative internazionali.

Per ogni opportunità di business creata dal nostro mondo iperconnesso, quella stessa iperconnettività crea opportunità per i cybercriminali. Ogni ambiente è un potenziale obiettivo: reti aziendali, cloud, dispositivi mobile e IoT. La difesa di queste reti richiede proattività ovvero bloccare preventivamente le minacce prima che possano infettare e danneggiare. Utilizzando l’intelligence delle minacce per potenziare le misure di sicurezza unificate e consolidate, le aziende possono automaticamente proteggere, da nuovi ed emergenti tipi di attacco, tutti gli ambienti. La proattività unita all’innovazione segna la strada per vincere la corsa agli armamenti della sicurezza informatica.

Symantec ha appena pubblicato un post dedicato alla nuova ricerca sulle minacce di tipo ransomware a livello globale.

La ricerca disponibile dal blog Symantec fornisce una retrospettiva puntuale relativa ai principali attacchi di tipo ransomware e illustra le tendenze emerse nel 2017, compreso l’arrivo di una nuova generazione di attacchi in grado di auto-propagarsi (come sono stati sia WannaCry sia Petya).

In particolare, Symantec rileva che la richiesta media di riscatto durante i primi sei mesi del 2017 si attesta sui 544 dollari per singolo terminale infettato.

La cifra fa seguito ad un periodo di rapida crescita nell’entità della richiesta di riscatto verificatasi lungo tutto lo scorso anno, anno che ha visto più che triplicarsi la cifra base del riscatto che è passata da 294 a 1.077 dollari.

Che cosa dobbiamo imparare da questo recente attacco?

Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, avverte:

  1. l’attacco poteva essere evitato… oltre il 93% delle aziende non utilizza nel modo corretto le tecnologie esistenti che possono proteggerle da questi tipi di attacchi, quindi non deve sorprendere se questi attacchi si diffondono così velocemente. Le aziende devono adottare soluzioni che prevengono questi tipi di attacchi e assicurarsi di mantenere e far mantenere dai propri dipendenti i sistemi aggiornati. È fondamentale poi un’eccellente gestione delle patch.
  2. È giunto il momento per le aziende, i governi e le organizzazioni in genere di includere la cybersecurity nella loro agenda: questi attacchi dimostrano che le aziende devono investire nel futuro della cybersecurity. È fondamentale che le nuove tecnologie di cybersecurity vengano sfruttate a livello governativo per prevenire il verificarsi di nuovi attacchi. Sappiamo infatti che questi attacchi continueranno a succedere, quindi dobbiamo prendere provvedimenti per proteggere i nostri dati e le nostre organizzazioni.
  3. La frammentarietà della sicurezza è parte del problema: ci sono troppe tecnologie disgiunte all’interno di un’azienda che rilevano l’attacco solo dopo che ha colpito. È necessario che le organizzazioni di tutte le dimensioni e di tutti i settori adottino un’architettura unificata, come per esempio Check Point Infinity, focalizzata sulla prevenzione dell’attacco prima che questo colpisca.

Come puoi proteggere te stesso e la tua azienda/organizzazione?

Questo attacco è l’ennesima dimostrazione di come:

  • nuove varianti di malware possono essere create e diffuse su scala globale a una velocità incredibile
  • le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete

Questi attacchi hanno il potenziale per creare un danno ingente e massiccio, si vede per esempio l’impatto che ha avuto in Ucraina su alcune infrastrutture critiche. La conseguenza è un rapidissimo propagarsi delle infezioni che hanno un effetto drammatico sulle nostre vite quotidiane, con il blocco dei servizi e delle nostre routine.

Tra le cose che più sorprendono Check Point è il fatto che spesso le organizzazioni non applicano le patch immediatamente, anche se come nel caso di Petya e WannaCry, erano disponibili da mesi.

Un’analisi completa di quello che è successo nelle scorse ore è disponibile qui:

http://blog.checkpoint.com/2017/06/28/preventing-petya-stopping-next-ransomware-attack/

0 1313

Il team di ricerca di Check Point Software Technologies, azienda israeliana specializzata in sicurezza informatica, sta continuamente monitorando la situazione.

In una nota sul blog aggiornata in tempo reale, Check Point segnala che la maggior parte degli attacchi è avvenuta in Ucraina, coinvolgendo la banca centrale, uffici governativi e aziende private di quel paese. L’attacco si è comunque diffuso in molti paesi dell’Europa, America, Medio Oriente e Asia. Tra le organizzazioni prese di mira anche parecchie infrastrutture critiche.

Il malware utilizzato è una variante di Petya, un tipo di malware, già identificato a marzo 2016, che cripta l’intero hard disk drive, anziché ogni file singolarmente. Il nuovo malware si chiama Petrwrap. Ma non è ancora chiaro quale versione del malware potrebbe essere il colpevole.

I sistemi di analisi e di monitoraggio di Check Point mostrano anche la presenza di Loki Bot per il furto di credenziali, ma deve essere ancora confermato se ci sia un collegamento tra questi due aspetti della campagna: il ransomware e il furto delle credenziali.

Purtroppo, dato che Petrwap e Loki Bot si stanno verificando nello stesso momento, queste due campagne hanno tutto il potenziale per creare un danno enorme.

Disponibile, invece, a questo link l’analisi forense di Check Point: http://freports.us.checkpoint.com/petyavar/

Maya Horowitz, Threat Intelligence Group Manager di Check Point ha dichiarato:

Il ransomware sembra essere una nuova versione del ransomware Petya, per la prima volta apparso nel marzo 2016. Il ransomware si sta diffondendo velocemente a livello mondiale coinvolgendo le reti aziendali, come WannaCry ha fatto lo scorso mese. A differenza di altri tipi di ransomware, Petya non cripta uno per uno i file sulle macchine infette, ma blocca l’intero hard disk drive. Per difendersi, le organizzazioni devono applicare immediatamente le ultime patch di sicurezza Microsoft e disattivare il protocollo di condivisione dei file SMBv1 sui propri sistemi Windows. Inoltre, le organizzazioni devono essere in grado di prevenire le infezioni, scansionando, bloccando e filtrando i contenuti sospetti prima che essi raggiungano le loro reti. È inoltre fondamentale che il personale sia consapevole dei rischi portati da email inviate da soggetti sconosciuti o messaggi di posta sospettosi che sembrano però provenire da contatti noti.”

Check Point rassicura che le proprie soluzioni Check Point SandBlast, SandBlast Agent e Anti-Bot sono in grado di proteggere contro Petya e Loki Bot, mentre Check Point IPS difende contro le vulnerabilità SMB.

Check Point Software Technologies sottolinea, inoltre, che questo attacco è l’ennesima dimostrazione di come:

  • nuove varianti di malware possono essere create e diffuse su scala globale.
  • le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete

E’ ormai chiaro che le aziende hanno bisogno di focalizzarsi sulla prevenzione. I sistemi avanzati di Threat Prevention sono ormai fondamentali all’interno di un’organizzazione, perché consentono di bloccare un contenuto sospetto prima che raggiunga la rete.

0 1095

il ransomware Petya è tornato a colpire, e questa volta il suo obiettivo non sono soltanto gli utenti che utilizzano software obsoleto.

La lista delle vittime include già il colosso dei trasporti marittimi Maersk, i sistemi di rilevazione delle radiazioni dell’impianto nucleare di Chernobyl e molte altre. Questa nuova ondata di attacchi ransomware sembra avere come obiettivo l’Ucraina, ma le nuove tattiche di infezione sono un chiaro segnale d’allarme per chiunque utilizzi un computer.

Petya è già stato rilevato e bloccato da Avira. Avira Protection Lab ha infatti raccolto tre varianti di questo ransomware nella giornata di ieri, 27 giugno. “Abbiamo rilevato tutti i campioni, e lo abbiamo fatto senza la necessità di aggiornare la nostra componente di machine learning NightVision” afferma Matthias Ollig, CTO Avira. “Dopo aver decriptato completamente il Trojan abbiamo inoltre scoperto che non usa solamente l’exploit EternalBlue, ma contiene anche la backdoor DoublePulsar di NSA” continua Ollig “Siamo sorpresi nel vedere come dopo la debacle di WannaCry, ci siano ancora così tante macchine connesse a Internet che non sono provviste degli ultimi aggiornamenti della sicurezza di Windows, specialmente in ambienti critici.”

La prima strategia da mettere in atto per difendersi è quella di avere tutti gli aggiornamenti installati sul computer. Dal momento che Petya sta utilizzando un exploit, il dispositivo viene infettato senza alcuna interazione da parte dell’utente, che non deve aprire o cliccare nulla. Mentre alcuni aggiornamenti sono automatici, altri devono essere invece ricercati e scaricati direttamente dagli utenti. Tuttavia, molte persone sono infastidite dai pop up, oppure non sono sicure di aver effettuato gli aggiornamenti. Finiscono così per non aggiornare i loro dispositivi regolarmente mettendone a rischio la sicurezza. Pensando a questa vulnerabilità, Avira offre una versione gratuita di Software Updater, per migliorare la sicurezza degli utenti e la versione premium Software Updater Pro per rendere automatico l’intero processo di aggiornamento.

Maggiori dettagli su questa minaccia alla sicurezza informatica e su come difendersi sono disponibili nell’articolo pubblicato oggi sul blog Avira, disponibile in inglese al link https://blog.avira.com/petya-strikes-back/

0 1057

Trend Micro, leader globale nelle soluzioni di sicurezza informatica, avvisa di aver identificato il ransomware che sta colpendo nelle ultime ore come una variante del ransomware Petya e di averlo nominato RANSOM_PETYA.SMA. Questa variante utilizza come vettori di infezione sia l’exploit EternalBlue che il tool PsExec.

Come prevenire ed evitare l’infezione?

Gli utenti e le organizzazioni devono eseguire i seguenti passaggi:

  • Applicare la patch di sicurezza MS17-010
  • Disabilitare il TCP port 445
  • Limitare gli account con l’accesso al gruppo di amministratori

 

Le aziende che utilizzano le soluzioni Trend Micro con capacità di machine learning e altre capacità di protezione dai ransomware come Trend Micro XGen sono già protette.