[aggiornato il 3 Luglio]
Il 27 di giugno parecchie società sparse per il mondo (fra cui alcuni colossi come la farmaceutica Merck e la società di spedizioni Maersk) hanno denunciato di aver subito un massiccio attacco da virus ransomware.

Pare che l’attacco originale abbia colpito l’Ucraina, paralizzando l’operatività di supermercati e banche, e che ora il virus si stia diffondendo a macchia d’olio un po’ in tutto il mondo.

I laboratori Webroot hanno rilevato la prima minaccia alle 10:00 del mattino (orario UTC) del 27 giugno: da quel momento tutti gli utilizzatori di Webroot sono protetti.

 
Attacco ransomware Petya, cosa sappiamo finora
 

In questo post parlerò di:
Cosa sappiamo

Pare assodato che il virus in questione sia una variante di Petya, ransomware immesso sul "mercato" circa un anno fa.

La modifica principale, rispetto al ransomware originale, consiste nel fatto che l’attacco sfrutta EternalBlue per infettare i sistemi Windows, ossia esattamente la stessa tecnica utilizzata da WannaCry nell’ormai (sic!) dimenticato attacco di qualche settimana fa.

Una seconda differenza rispetto al virus originale è il modo con cui vengono presi in ostaggio i file: l’originale Petya cifrava i file in base alle estensioni dei file stessi; questa variante invece cifra la Master File Table (MFT), ossia in pratica si sostituisce al piccolo pezzo di codice che fa avviare il computer rendendolo di fatto inutilizzabile.
Al riavvio successivo all’infezione, infatti, il sistema non si avvia normalmente ma compare una scritta che informa delle cifratura dei dati e del riscatto da pagare.

[aggiornamento del 3 Luglio]
A proposito di riscatto segnalo due cose.
  • Le chiavi con cui vengono crittati i file e la MFT sono diverse e sono casuali, per cui occorrerrebbe decrittare oltre ai file anche il MFT
  • L'indirizzo email indicato per il riscatto (wowsmith123456@posteo.net) è stato chiuso per cui, almeno in questa circostanza non vi è nessuna possibilità di riavere i propri, se non recuperandoli da un hard disk.
[fine aggiornamento del 3 Luglio]
 
Benché, come detto, venga sfruttata la medesima vulnerabilità che ha reso celebre WannaCry, questa variante di Petya, pare utilizzare istruzioni specifiche per infettare quante più macchine possibili.
Il virus infatti utilizza PsExec e  WMI (Windows Management Instrumentation) per cercare di attaccare le macchine in rete usando delle credenziali acquisite sulla macchina infetta.

Una curiosità per gli "smanettoni": una volta che il sistema viene riavviato, dopo aver contratto il virus, il PC sembra compiere alcune operazioni diagnostiche (chkdsk) che i tecnici informatici conoscono bene: tuttavia non si tratta di un’operazione diagnostica ma di una conferma che i file sono stati cifrati.
 
Avviso di infezione al riavvio del PC

L’immagine è tratta da un tweet del primo ministro Ucraino che denuncia l’attacco in corso.
 
Dopo che i file sono stati cifrati, non c’è modo per le vittime di riottenere i propri file se non pagando il riscatto (sempre sconsigliato!), contattando uno degli indirizzi che compaiono nella schermata con la richiesta... a meno che le vittime non abbiamo un backup (affidabile) e possano quindi recuperare i file mettendo in pista una procedura di disaster recovery.


Come scopro se sono protetto?
Se la tua macchine o le macchine che gestisci sono soggette a regolare patch management, non dovresti correre grandi rischi.
Tuttavia se volessi avere la certezza assoluta e capire se sei immune o vulnerabile, puoi scaricare un semplice programma scritto da Webroot che ti dice chiaramente se sei protetto o meno.
Per un sistema protetto, l'output del programma è questo.
 
Output dello strumento per verificare se sei attaccabile da Petya
 
Come proteggersi
La cosa incredibile è che, nonostante la risonanza che ha avuto WannaCry, le aziende non hanno aggiornato i propri sistemi per mettere una toppa alla vulnerabilità EternalBlue legata al protocollo SMB (versione 1.0) di Windows.

Microsoft ha rilasciato il 14 Marzo la patch per toppare la falla, ed è disponibile qui.
Oltre ad aver rilasciato la patch a suo tempo, Microsoft ha dato anche il proprio contributo per arginare il problema: si è affrettata infatti a rilasciare delle patch anche per i sistemi operativi non supportati (XP, Vista, 2003).

Non importa quale sistema utilizzi per installare le patch, ma installale, questa in particolare.
Questa forse è la principale lezione da imparare, dopo WannaCry e Petya: il processo di patch management è parte integrante e insostituibile di un corretto approccio alla sicurezza.

[aggiornamento del 3 Luglio]
Questa misura è necessaria, ma non sufficiente. Il virus in questione, come detto, non utilizza solo la falla che la patch di Microsoft punta a correggere. 
Quindi altre attività sistemistiche da mettere in conto sono:
  • disattivare il protocollo SMB versione 1
  • bloccare sui router/firewall di frontiera le porte 137, 138, 139 e 445
  • disattivare la share \\admin$ sulle macchine della rete
[fine aggiornamento del 3 Luglio]

[aggiornamento del 29 giugno]
Mettiamoci una pezza: il vaccino
In rete ormai si trova di tutto in merito a questo "attacco". A partire dal nome del virus: c'è chi dice Petya, Not Petya/Petna e altri appellativi ancora.
Pare assodato che sia possibile arginare la diffusione del virus con un vaccino.

E' sufficiente seguire pochi passi
  • andare nella cartella c:\windows;
  • creare 3 file chiamati rispettivamente perfc, perfc.dll, perfc.dat;
  • metterli in sola lettura.
A questo punto la macchina dovrebbe essere immune.
Il problema è come vaccinare tutte le macchine di cui sei responsabile.

Ci sono varie strade:
  • Bleeping Computer ha creato un semplice file batch che crea questi file sul PC su cui viene eseguito. Ti segnalo che va eseguito con diritti amministrativi, altrimenti non funziona.
  • Edd Watton sul suo blog ha creato una procedura per creare una Group Policy per immunizare i PC che si collegano al domino.
  • Infine se utilizzi strumenti RMM come Kaseya e AEM, puoi lanciare direttamente dalla console una procedura che vaccina per te i computer di cui sei responsabile. Lo script da importare in Kaseya e AEM lo puoi scaricare qui.


[fine aggiornamento del 29 giugno]



Condividi sui Social Network