Campagna di Ransomware Petya-EternalBlue (Aggiornamento)

 

Proto: N090617.

 

Questo documento funge da integrazione all’early-warning N080617 del 27/06/2017.

Con la presente Yoroi desidera informarLa riguardo ad aggiornamenti relativi alla campagna di attacco ransomware a diffusione globale attualmente in corso. La minaccia è di estrema pericolosità in quanto risulta essere riconducibile ad una presunta variante della famiglia ransomware Petya (PetrWrap), con capacità di propagazione all’interno di host raggiungibili attraverso la rete locale utilizzando varie tecniche come exploit EternalBlue, utilizzo di psexec o utilizzo di funzionalità WMI (Windows Management Instrumentation).

Benché i principali bersagli della campagna di attacco sono organizzazioni dell’Est-Europa, India, Olanda, Spagna e Gran Bretagna,  sono stati rilevati attacchi anche in organizzazioni italiane

Le informazioni relative ai vettori di propagazione iniziali del malware non sono tuttora confermate, tuttavia esiste la possibilità che parte delle infezioni siano legate alla compromissione delle catene di aggiornamento di un software di gestione documentale prodotto dalla società ucraina “MeDoc”, i cui server sarebbero stati coinvolti in un incidente di sicurezza. Nel caso si utilizzino soluzioni software prodotte dalla società indicata è opportuno verificare la liceità di eventuali aggiornamenti.

Qualora all’interno delle Vostre infrastrutture esistano macchine con sistemi operativi o sistemi antivirus non aggiornati o non aggiornabili si invita a considerare l’applicazione dello script di immunizzazione reperibile al seguente link:

  • https://download.bleepingcomputer.com/bats/nopetyavac.bat 
    (SHA256:5e68960ccdf2dcaf670fa3eb6f91fc4a2eebb60955b9bf2f5916b42eb274d8b4)

Tale script crea appositi file all’interno della cartella di sistema “C:\WINDOWS” la cui presenza altera il comportamento della minaccia al fine di non attivare le porzioni di codice adibite alla cifratura dei file presenti nei drive connessi alla macchina.

Yoroi suggerisce di applicare le azioni preventive indicate nell’early warning N080617 del 27/06/2017.

Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index