Un “vaccino” per NotPetyaSimilitudini e differenze con WannaCryLa campagna di infezione di NotPetya ha contaminato diverse migliaia di sistemi Microsoft Windows in tutto il mondo a partire da Russia, Ucraina, Francia, Spagna e Stati Uniti. In Italia, secondo il Computer Emergency Response Team (CERT-PA) dell’AgID – Agenzia per l'Italia Digitale al momento non si registrano ancora episodi rilevanti ma nelle prossime ore si sospetta che il numero di macchine e di paesi compromessi possa aumentare.Come lavora NotPetyaNotPetya, come WannaCry, si diffonde in modo rapido colpendo soprattutto le reti aziendali attraverso una vulnerabilità del protocollo di condivisione di rete SMB usata dal codice di attacco (exploit) EternalBlue, sviluppato dalla National Security Agency (NSA) ma poi diffuso online la scorsa estate dal gruppo noto con il nome di Shadow Brokers.Trattandosi di un ransomware, lo scopo di NotPetya è quello di crittografare parte dell’hard disk e di tenere in ostaggio i files finchè non viene pagato un riscatto equivalente a $300 in Bitcoin.Questa vulnerabilità può essere in parte risolta attraverso l’installazione della patch sviluppata e pubblicata il 14 Maggio 2017 da Microsoft con il Microsoft Security Bulletin MS17–010-Critical ma sembra che — nonostante l’epidemia a livello globale di WannaCry — vi siano ancora molte reti non aggiornate.La patch MS17–010 non risolve comunque il problema del movimento laterale che NotPetya sembra sia in grado di compiere sulla rete aziendale usando due strumenti di amministrazione di Microsoft Windows WMIC e PSEXEC attraverso i quali una macchina infetta può compromettere altri computer sulla stessa LAN, anche qualora questi siano stati correttamente aggiornati con la patch del 14 Maggio.Come avviene la diffusioneIl vettore di propagazione di NotPetya non è ancora del tutto chiaro: secondo vari ricercatori una fonte di diffusione potrebbe essere stato il sistema di update automatico del software finanziario MeDoc sviluppato da una società ucraina che avrebbe inconsapevolmente diffuso l’infezione ai propri clienti con i suoi aggiornamenti (supply-chain attack). Qualcuno ha ventilato anche l’ipotesi che NotPetya possa diffondersi anche via email attraverso una vulnerabilità degli allegati di Microsoft Word (CVE-2017–0199), ma questa ipotesi non è al momento confermata.Un kill switch localeAnalizzando i processi attraverso i quali NotPetya infetta un computer alcuni ricercatori hanno individuato una possibile soluzione temporanea per renderlo inoffensivo. Si tratterebbe di una ipotesi di “vaccino” applicabile a macchine non ancora compromesse che potrebbe bloccare l’esecuzione del codice di NotPetya attraverso la creazione di tre files locali in sola lettura:C:Windowsperfc C:Windowsperfc.dat C:Windowsperfc.dll Ulteriori dettagli tecnici in costante aggiornamento sono condivisi su GitHubbody[data-twttr-rendered=”true”] background-color: transparent;.twitter-tweet margin: auto !important;Petya #Ransomware KILLSWITCH:Malware checks for the name of the dll inside c:windows-If exists it won't run.
Per leggere il resto dell’articolo devi collegarti direttamente sul sito della fonte:
