Il team di ricerca di Check Point Software Technologies, azienda israeliana specializzata in sicurezza informatica, sta continuamente monitorando la situazione.
In una nota sul blog aggiornata in tempo reale, Check Point segnala che la maggior parte degli attacchi è avvenuta in Ucraina, coinvolgendo la banca centrale, uffici governativi e aziende private di quel paese. L’attacco si è comunque diffuso in molti paesi dell’Europa, America, Medio Oriente e Asia. Tra le organizzazioni prese di mira anche parecchie infrastrutture critiche.
Il malware utilizzato è una variante di Petya, un tipo di malware, già identificato a marzo 2016, che cripta l’intero hard disk drive, anziché ogni file singolarmente. Il nuovo malware si chiama Petrwrap. Ma non è ancora chiaro quale versione del malware potrebbe essere il colpevole.
I sistemi di analisi e di monitoraggio di Check Point mostrano anche la presenza di Loki Bot per il furto di credenziali, ma deve essere ancora confermato se ci sia un collegamento tra questi due aspetti della campagna: il ransomware e il furto delle credenziali.
Purtroppo, dato che Petrwap e Loki Bot si stanno verificando nello stesso momento, queste due campagne hanno tutto il potenziale per creare un danno enorme.
Disponibile, invece, a questo link l’analisi forense di Check Point: http://freports.us.checkpoint.com/petyavar/
Maya Horowitz, Threat Intelligence Group Manager di Check Point ha dichiarato:
“Il ransomware sembra essere una nuova versione del ransomware Petya, per la prima volta apparso nel marzo 2016. Il ransomware si sta diffondendo velocemente a livello mondiale coinvolgendo le reti aziendali, come WannaCry ha fatto lo scorso mese. A differenza di altri tipi di ransomware, Petya non cripta uno per uno i file sulle macchine infette, ma blocca l’intero hard disk drive. Per difendersi, le organizzazioni devono applicare immediatamente le ultime patch di sicurezza Microsoft e disattivare il protocollo di condivisione dei file SMBv1 sui propri sistemi Windows. Inoltre, le organizzazioni devono essere in grado di prevenire le infezioni, scansionando, bloccando e filtrando i contenuti sospetti prima che essi raggiungano le loro reti. È inoltre fondamentale che il personale sia consapevole dei rischi portati da email inviate da soggetti sconosciuti o messaggi di posta sospettosi che sembrano però provenire da contatti noti.”
Check Point rassicura che le proprie soluzioni Check Point SandBlast, SandBlast Agent e Anti-Bot sono in grado di proteggere contro Petya e Loki Bot, mentre Check Point IPS difende contro le vulnerabilità SMB.
Check Point Software Technologies sottolinea, inoltre, che questo attacco è l’ennesima dimostrazione di come:
- nuove varianti di malware possono essere create e diffuse su scala globale.
- le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete
E’ ormai chiaro che le aziende hanno bisogno di focalizzarsi sulla prevenzione. I sistemi avanzati di Threat Prevention sono ormai fondamentali all’interno di un’organizzazione, perché consentono di bloccare un contenuto sospetto prima che raggiunga la rete.