Proprio come Wannacry, NotPetya si diffonde in modo rapidissimo, colpendo soprattutto le aziende e le organizzazioni, attraverso una vulnerabilità usata dal codice di attacco EternalBlue.
Questa tecnologia era stata sviluppata dalla Nsa, poi diffusa nel web la scorsa estate dal gruppo noto come Shadow Brokers, che dice di aver rubato una serie di attacchi informatici dell’agenzia di sicurezza nazionale americana.
Questo attacco diffonde il ransomware, una volta colpita una vittima attraverso le reti interne di un’organizzazione grazie a una vulnerabilità di un protocollo di condivisione di file di rete: l’SMB (Server Message Block), usato da sistemi Microsoft Windows e dispositivi di rete. Vulnerabilità che era stata corretta da Microsoft lo scorso marzo, già prima dell’esplosione di Wannacry.
Ma non tutti hanno aggiornato i propri sistemi.
In più di Wannacry, dopo aver cifrato tutti i dati, scarica le credenziali dalla memoria del computer e inizia a diffondersi sulle macchine vicine usando strumenti di amministrazione di Windows: WMIC e PSEXEC. E così si diffonde ad altre macchine nella stessa rete: dai dispositivi client ai server.
E proprio come con Wannacry… Le buone notizie? I sistemi di protezione che vi stiamo proponendo e che abbiamo in produzione hanno bloccato con successo questa minaccia, proteggendo i clienti dalla perdita dei dati, del tempo e della loro reputazione!
Proprio così! I fantastici 4 con la Total Suite hanno bloccato sia Wannacry che questo nuovo attacco!
Ormai queste notizie stanno diventando la normalità.
WannaCry il mese scorso, Petya 2.0 di questo mese, e ci sarà qualcosa di nuovo presto dietro l”angolo. Il ransomware è una minaccia critica per le aziende di tutte le forme e dimensioni.
Noi abbiamo la soluzione!
Non ci hai ancora contattato per metterti in sicurezza? Cosa aspetti! Nel frattempo tecnicamente ti consigliamo di:
“Patchare” i sistemi e in particolare quelli SMB
Disattivare SMBv1 (attenzione: molti scanner di rete utilizzano questo protocollo, modificare magari la scansione con scan-to-mail)
Disabilitate le share Admin$ su tutta la rete
Bloccare accesso alle porte 137, 138, 139, 445.
Se quando riavviate il pc vedete un messaggio di chkdsk (del controllo del disco di Windows), è molto probabile che sia il malware in questione che vi sta cifrando il disco. Spegnete subito (anche staccando l’alimentazione) almeno così potreste riuscire a recuperare ciò che non è stato ancora cifrato con un disco di boot o collegando il disco ad un’altra macchina.
Fate i backup e controllate gli esiti dei backup.
Non lascare i backup collegati a dispositivi in rete! Portali fuori.
Più info? Eccoci! 0543 704710 – info@v-ision.it
