All Posts tagged ransomware

Attacco ai sistemi informatici di UniCredit: la sicurezza informatica è una priorità.

Attacco ai sistemi informatici di UniCredit: la sicurezza informatica è una priorità.

E’ di poche ore fa la notizia secondo cui UniCredit S.p.A. avrebbe subito un attacco ai propri sistemi informatici.
E’ la stessa Banca a comunicarlo in una nota nella quale denuncia “di aver subito una intrusione informatica in Italia con accesso non autorizzato a dati di clienti italiani relativi solo a prestiti personali” e precisa che la falla si è aperta “attraverso un partner commerciale esterno italiano“.
Il sito di Repubblica riferisce che la banca avrebbe ricostruito la cronologia degli attacchi e che una prima violazione dei sistemi informatici sarebbe già avvenuta nei mesi di settembre e ottobre 2016.
Si ritiene, pertanto, che a seguito dei due attacchi subiti (quello di questi giorni e quello di quasi un anno fa) sarebbero stati violati i dati di circa 400.000 clienti in Italia.
La banca ha comunque rassicurato i suoi correntisti precisando che “non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN“.
La banca fa, inoltre, sapere che ha già preparato un esposto alla Procura di Milano, al fine di informare le autorità competenti e avviare un’indagine interna.
Riferisce il noto quotidiano che “la banca ha inoltre immediatamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica anche in considerazione del fatto che nel piano Transform 2019 sono stati scritti investimenti per 2,3 miliardi proprio alla voce dei sistemi informatici e queste falle aprono interrogativi pericolosi”.
Tuttavia UniCredit non è stata l’unica ad aver subito un simile attacco.
Nel mese scorso anche il noto studio legale Dla Piper è stato vittima di una violazione dei propri sistemi informatici, nel caso di specie a causa del ransomware Petya/Not Petya.
E’, pertanto, ormai evidente che non solo le banche e le grandi aziende, ma anche gli studi legali o commercialisti (in particolare quelli più strutturati) e le piccole e medie imprese trattano e custodiscono informazioni di primaria importanza ovvero dati sensibili sia privati che di natura giudiziale e commerciale che, se sottratti, possono essere rivenduti a soggetti terzi e utilizzati per trarne un vantaggio non solo economico, ma anche anticoncorrenziale.
Alla luce, dunque, delle recenti novità introdotte con il Regolamento UE 2016/679, è ormai chiaro che la sicurezza dei sistemi informatici è una priorità che non può più essere ulteriormente procrastinabile.

Avv. Elisabetta Parisi

More

Petya/NotPetya come WannaCry?

Petya/NotPetya come WannaCry?

Il recentissimo attacco tramite il ransomware Petya/NotPetya (o secondo alcuni una sua variante chiamata Nyetya), che ha interessato molteplici società nel mondo (ed in particolare Ucraina, Italia, Russia e Stati Uniti), torna a far discutere sulle necessarie e sempre più indispensabili misure di sicurezza informatica nelle aziende.
Il primo attacco verificatosi in Ucraina sembrerebbe aver avuto origine dal sistema di aggiornamento di MEDoc, un software di gestione della contabilità largamente utilizzato nelle aziende ucraine, ma anche nelle istituzioni finanziarie, negli aeroporti e nelle metropolitane.
Come WannaCry (per ogni approfondimento si rinvia al precedente articolo), per la propria diffusione Petya/NotPetya utilizza non solo SMB exploit (come ad esempio la già nota vulnerabilità EternalBlue o EternalRomance), ma anche l’esecuzione da remoto attraverso la rete condivisa, utilizzando strumenti di Windows come PsExec o WMIC (Windows Management Instrumentation Command-line).
Petya/NotPetya cerca, infatti, di infettare i computer copiando e diffondendo se stesso all’interno dell’infrastruttura di rete, per mezzo di credenziali amministrative illegittimamente acquisite; è, infatti, sufficiente che un client in possesso di credenziali amministrative venga infettato per diffondere l’infezione anche in altri pc tendenzialmente protetti, ad esempio, dall’exploit EternalBlue.
Una volta installato, Petya/NotPetya inizia a modificare il c.d. “master boot record”, ossia quel settore dell’hard disk di un pc, altrimenti noto come “settore di avvio principale”, che contiene la sequenza di comandi/istruzioni necessarie all’avvio (boot) del sistema operativo.
La modifica al settore di avvio principale ha come scopo quello di crittografare l’hard disk simulando una schermata di Checkdisk, ossia un comando che nei sistemi DOS e Microsoft Windows permette di eseguire il controllo di errore nel file system di un hard disk.
Solo allora Petya/NotPetya si rivela all’utente nella sua forma più conosciuta, facendo apparire una richiesta di riscatto, anche in questo caso, di circa 300 $ in Bitcoin e le istruzioni su come procedere per ottenere il controllo del proprio pc, inviando una e-mail all’indirizzo indicato (il quale non registra l’indirizzo IP dei visitatori, cifrandone la connessione e permettendo agli stessi di non essere rintracciabili).
Pertanto, diversamente da WannaCry, Petya/NotPetya non crittografa i singoli dati, rendendoli illeggibili, bensì rende impossibile l’utilizzo del pc, non consentendo neppure di intervenire nel residuo lasso di tempo che separa il momento di accensione del pc da quello di avvio del sistema operativo, ormai già compromesso.
Sul punto si segnala che gli esperti raccomandano di non pagare il riscatto.
Parrebbe, infatti, che a seguito della chiusura da parte delle autorità dell’indirizzo e-mail indicato dai cyber criminali, non vi sia alcun canale a disposizione per la vittima al fine di entrare in comunicazione con chi ha sferrato l’attacco. In altre parole sussistono forti dubbi sulla possibilità sia di verificare il buon esito del pagamento, sia di ricevere effettivamente la chiave di decrittazione una volta avvenuto il pagamento del riscatto (essendo chi sferra l’attacco non più in grado di identificare il soggetto pagante).
Naturalmente esistono diverse strade per mitigare e prevenire l’impatto di Petya/Nyetya e di questi attacchi ransomware:
– in primo luogo è fortemente raccomandato che gli utenti che non abbiano ancora installato l’aggiornamento MS17-010 di Microsoft vi provvedano immediatamente. Tale aggiornamento consente, infatti, di eliminare le vulnerabilità tramite le quali i ransomware riescono a diffondersi;
– installare un anti-malware nel proprio pc al fine di individuare e bloccare l’esecuzione di sconosciuti e pericolosi eseguibili;
– implementare un piano di “disaster recovery” che preveda operazioni di backup e restore dei dati da dispositivi che sono offline e quindi non a rischio infezione;
– mantenere i propri sistemi operativi costantemente aggiornati.
Si segnala, infine, che per il momento, sembrerebbe ancora non esistere un “vaccino” (c.d. kill switch) per debellare il malware (come è stato per WannaCry), tuttavia il ricercatore del Cybereason in Massachussets, Amit Serper, avrebbe trovato un rimedio, seppur temporaneo, per bloccarlo.
In sostanza Petya/NotPetya si aggancia ad un file locale per diffondersi all’interno del pc e, per rendere il pc non ancora infettato immune al suo attacco, sarebbe “sufficiente” creare un file di sola lettura di nome “perfc” nella cartella C:\Windows.
Si considera un rimedio solo temporaneo dal momento che in un attacco di scala globale come questo, che normalmente si sviluppa a più riprese, gli hackers possono facilmente modificare il nome del file, rendendo vano ogni tentativo di rendere inoffensivo il malware.

Avv. Elisabetta Parisi

More

Attacco hacker colpisce società in tutto il mondo

Attacco hacker colpisce società in tutto il mondo

Dopo Russia e Ucraina un attacco hacker sta colpendo società in tutto il mondo, anche la centrale di Chernobyl dove sono interessati i sistemi di monitoraggio dell’aria ma senza preoccupazione.

Lo scrive la Bbc online, precisando che anche l’agenzia pubblicitaria britannica Wpp risulta tra le società colpite così come la francese Saint Gobin. E l’Associated Press cita tra queste anche il colosso dei trasporti marittimi Moller-Maersk. “Un attacco hacker senza precedenti ha colpito l’Ucraina ma i nostri specialisti informatici fanno il loro lavoro e proteggono le infrastrutture cruciali. I sistemi vitali non sono stati danneggiati, l’attacco verrà respinto e i responsabili saranno individuati”. Così su Facebook il premier ucraino Volodomyr Groysman.

Il sito della Rosneft, colosso petrolifero russo, è irraggiungibile e nella metropolitana di Kiev non si possono effettuare pagamenti elettronici ma il sistema dei trasporti funziona. Nell’aeroporto di Borispil, in Ucraina, si registrano ritardi ai voli. In Russia, oltre a Bashneft e Rosneft, anche Mars e Nivea sono coinvolte.

Il virus responsabile – secondo la società di cyber sicurezza Group-IB – sarebbe ‘Petya’ e non ‘WannaCry’. E’ un ransomware, cioè quella tipologia di virus che cifrano i dati con finalità di estorsione, perchè per rientrare in possesso dei propri dati viene chiesto un riscatto agli utenti. La sua particolarità è quella di bloccare non solo singoli file ma l’intero hard disk del computer, cioè la memoria che archivia file, programmi e sistemi operativi. Secondo Symantec, sarebbe stato ‘armato’ con EternalBlue, lo stesso codice usato per WannaCry e rubato all’Nsa.

“Credo non ci sia nessun dubbio che dietro a questi ‘giochetti’ ci sia la Russia perché questa è la manifestazione di una guerra ibrida”. Così il consigliere del ministro dell’Interno ucraino Zoryan Shkiriak a 112 Ucraina parlando dell’attacco hacker che ha colpito oggi l’Ucraina (e la Russia, ndr).

Stando ad altri media, la portavoce dell’SBU – i servizi di sicurezza di Kiev – avrebbe detto che all’interno dell’agenzia si suppone che gli attacchi siano partiti dalla Russia o dai territori occupati del Donbass

Anche la centrale nucleare di Chernobyl è stata colpita dall’attacco hacker, come riporta il sito ucraino Kromadske. Secondo l’Agenzia nazionale per la gestione della zona contaminata, i sistemi interni tecnici della centrale “funzionano regolarmente” e invece sono “parzialmente fuori uso” quelli che monitorano “i livelli di radiazione”. Il sito della centrale elettrica è inoltre inaccessibile.

“L’uso del virus Petya è atipico per una azione cybercriminale su questa scala – spiega all’ANSA l’esperto di sicurezza Andrea Zapparoli Manzoni -. Questo particolare ransomware potrebbe essere stato usato come mezzo distruttivo per la sua caratteristica di cifrare l’intero disco del computer, che quindi diventa inutilizzabile. Confondendo così le acque perché si tratta di un ransomware e non, strettamente parlando, di una cyber-arma. Perfetto quindi per coprire un attacco con finalità geopolitiche”.

“L’attacco è stato condotto attraverso un ransomware gia noto ma modificato: secondo le valutazioni preliminari è stato pianificato in anticipo e si è svolto a tappe”, spiegano i servizi segreti di Kiev.

More

Nome in codice: WannaCry

Nome in codice: WannaCry

Il mese di maggio 2017 è stato interessato da una massiccia ondata di “attacchi” a mezzo ransomware ed in particolare attraverso il ransomware WanaCrypt0r 2.0 meglio noto come Wanna Cry o WCry, che ha infettato i sistemi informatici di ospedali, università, banche, aziende e uffici in quasi tutti i paesi del Mondo, Italia compresa.

Nome alquanto evocativo dietro il quale si cela un potente malware il quale, dopo essere entrato nel malcapitato PC di turno sfruttando la vulnerabilità del Server SMB di Windows (MS17 -010) per il tramite di un exploit denominato “Eternal Blue”, infetta il PC colpito, bloccando l’accesso al computer e/o ai suoi file e chiedendo all’utente un riscatto (in inglese, per l’appunto “ransom”) in bitcoin per rimuovere “l’infezione” dal PC e sbloccare, quindi, l’accesso ai file.

Nel caso di WannaCry il prezzo del “riscatto” oscillava tra i 300 e i 600 $ in bitcoin che veniva raddoppiato se il pagamento non perveniva entro 3 giorni.

In mancanza di tale pagamento, i file criptati sarebbero stati eliminati dopo 7 giorni.

Sin dal marzo 2017 Microsoft aveva pubblicato l’aggiornamento “Security Update for Microsoft Windows SMB Server (4013389)”, scaricabile da chiunque, con il quale tale exploit sarebbe stato “riparato”, così da proteggere il PC da tale attacco.

Tuttavia, come è noto, i sistemi informatici di enti pubblici, banche e aziende non sempre vengono tempestivamente aggiornati e proprio tale mancato aggiornamento ha provocato ingenti danni. Infatti, una volta che un singolo computer è colpito dal ransomware WannaCry, il malware cerca altri computer nella rete, provocando, quindi, una diffusione a catena.

La diffusione è stata fermata, almeno temporaneamente, da un ricercatore di sicurezza indipendente, Darien Huss di ProofPoint che ha interrotto la trasmissione globale di WannaCry registrando il nome di dominio nascosto nel malware.

In sostanza il ransomware si eseguiva automaticamente su un computer soltanto dopo aver tentato di interrogare un sito web inesistente per connettersi ad esso; se tale connessione falliva (proprio perché il sito era inesistente), WannaCry procedeva nell’attacco, se tale connessione aveva successo, il malware cessava la propria attività.

Il ricercatore Darien Huss, notando che il dominio verso il quale tentava di connettersi WannaCry stava avendo numerosissime interrogazioni, spendendo poche sterline, ha registrato tale dominio impedendo, così, l’attivazione del ransomware ed interrompendo la sua capillare diffusione.

Almeno per il momento.

Infatti, proprio nella giornata di ieri, martedì 13 giugno 2017, per il c.d. “Patch Day”, Microsoft ha rilasciato circa 350 aggiornamenti di sicurezza la cui installazione si rende necessaria per risolvere le vulnerabilità non solo presenti nelle le più recenti versioni di Windows, ma anche e soprattutto nei sistemi Windows XP, Windows Vista, Windows 7, Windows Server 2008, Windows Server 2003, ormai non più supportati, ma ancora utilizzati da una discreta percentuale di utenti.

E’, pertanto, possibile ipotizzare che, secondo i tecnici di Microsoft vi sarebbero reali e concreti rischi di un nuovo attacco su vasta scala, potenzialmente paragonabile a quello lanciato da WannaCry.

Avv. Elisabetta Parisi

More