Le imprese

NotPetya minaccia il web: cos’è e come difendersi

30 giugno 2017


NotPetya minaccia il web: cos’è e come difendersi

 

Un nuovo virus ha infettato i computer a livello globale. Cosa possono fare la aziende per interrompere il contagio? L’associazione ha messo a punto un test per valutare in pochi minuti il proprio livello di rischio.

Sono passate poche settimane dall’infezione di Wannacry, ed un nuovo attacco informatico mette sotto scacco i computer a livello mondiale. Cosa sia esattamente è ancora oggetto di discussione tra gli esperti, visto che quella che all’inizio sembrava una variante del virus Petya, in realtà sta assumendo i contorni di una minaccia a sé stante, ribattezzata perciò NotPetya o Nyetya. Prende di mira i computer con sistema operativo Windows, e si comporta come un ransomware (ovvero un tipo di malware che tiene in “ostaggio” i dati e richiede un riscatto). Con il malware originario ha in comune solo il codice per infettare il master boot record, ossia il codice di avviamento del computer. È un aspetto fondamentale dell’architettura del virus e del suo modus operandi, ma salvo questo aspetto, NotPetya e Petya non hanno nient’altro in comune. Così come non ci sono legami con l’Nsa e con la diffusione di dati sensibili da parte di The Shadow Brothers, né con Wikileaks. Nomi grossi che in questa tempesta hanno alimentato il vento di bufera, ma sono solo parole.

NotPetya condivide qualcosa anche con Wannacry, il virus che ha messo in allarme aziende e cittadini solo poche settimane fa. È l’exploit, ossia il meccanismo utilizzato per il contagio: Eternalblue. Per difendersi, quindi, si può partire dall’installazione di MS17-010, ossia la patch adoperata per risolvere il buco di sistema evidenziato da Wannacry. La toppa, però, desse essere installata su tutte le macchine.

Il virus adopera anche due strumenti di amministrazione di Windows (WMIC e PSEXEC) per diffondersi.

Di fatto il malware usa l’exploit per entrare in un host della rete, dopodiché sfrutta i privilegi degli utenti per verificare in quale altro computer possa entrare per propagarsi, provando il cosiddetto “movimento laterale”. Per questo tutte le macchine devono avere il giusto sistema di difesa installato: altrimenti ne basta una per aprire la porta al malware.

Non solo: si possono disinstallare le condivisioni amministrative. Chi fa valutazione della cybersicurezza in genere consiglia di eliminare questi strumenti, adoperati in molte aziende per dare agli amministratori di sistema un accesso rapido alle macchine dalla loro postazione, perché l’accesso privilegiato è uno scivolo per un attacco.

Dopo essere entrato nel sistema, cosa fa questo malware? Modifica le istruzioni di accensione e programma un riavvio dopo 10-60 minuti dall’infezione. A quel punto cifra il disco con tutti i dati al suo interno. Se quando si riaccende il computer compare un messaggio di checkdisk (il messaggio che informa che è in corso la verifica di eventuali errori nel disco fisso), significa che il malware sta cifrando il disco. Il consiglio è di spegnere il computer, perché in questo modo si può interrompere la cifratura e tentare di recuperare quantomeno i dati non ancora criptati.

Se il malware riesce nel suo intento, per recuperare i dati si può fare affidamento solo su un backup, in quanto usa il sistema AES con una chiave a 128 bit, uno standard molto robusto. Inoltre, NotPetya si presenta come un ransomware, ma l’email a cui rivolgersi per ottenere la chiave è stata distrutta e quindi pagare non serve più a nulla. Tra l’altro i pagamenti sono stati pochi e bassi, forse un segno che l’obiettivo di chi ha sparso il virus non fosse veramente di lucrare sul furto di dati, quanto piuttosto di causare danni.

L’infezione pare essere terminata. Da un lato, quindi, l’impatto è stato meno spaventoso della bufera Wannacry, ma questo attacco deve far riflettere le aziende sulla necessità di prevedere sistemi di difesa e contromisure in caso di contagio. Per questo all’inizio di giugno l’Advisory Board dedicato da Assolombarda alla cybersicurezza ha pubblicato in rete un veloce test per verificare la vulnerabilità informatica della propria impresa, il “Cyber Security Check”.

“Aperto a tutte le imprese e costituito da un set di 14 domande, scelte in collaborazione con CINI – Cybersecurity National Lab, il Cyber Security Check permette di ottenere un quadro sintetico ma completo sul cyber risk e focalizzare l’attenzione sugli aspetti strategici per mettere in sicurezza i propri sistemiafferma Alvise Biffi, coordinatore dell’Advisory Board Cyber Security di Assolombarda -. Dai processi produttivi alla formazione, dai prodotti e servizi che richiedono connessione internet all’aggiornamento dei software, l’imprenditore può prendere coscienza dei rischi a cui va incontro e raddrizzare la rotta. Nato da un’indagine che l’Associazione ha condotto tra le imprese associate, è uno strumento immediato per fare educazione sulla sicurezza informatica e dare un primo e veloce riscontro, prima di passare a programmi più strutturati di difesa”.

 

Leggi anche “Un manuale di difesa all’epoca della cybersicurezza”

 

lascia un commento

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Articoli correlati
Le imprese
Sicurezza informatica: subito e dappertutto

4 ottobre 2017

L'80% delle aziende europee denuncia di aver subito almeno un attacco informatico. Cresce l'attenzione sui …