Cryptoloker Giugno 2017

 

Un’ondata di attacchi hacker che ha travolto prima Ucraina e Russia, e poi è arrivata anche in Francia. Bloccati siti governativi e compagnie private e anche la centrale nucleare di Chernobyl. Secondo l’Agenzia nazionale per la gestione della zona contaminata, i sistemi interni tecnici della centrale “funzionano regolarmente” ma sono “parzialmente fuori uso” quelli che monitorano “i livelli di radiazione”. Il sito della centrale elettrica è inoltre inaccessibile. All’origine, ha spiegato un consigliere del ministero dell’Interno di Kiev, una versione del virus ransomware WannaCry, Cryptolocker, che aveva bloccato oltre 200mila computer in oltre 150 Paesi a maggio. E secondo l’Ucraina, gli attacchi proverrebbero dalla Russia.

La Banca Centrale ucraina ha spiegato alla stampa locale come le principali compagnie del Paese siano colpite da un “massiccio attacco” di pirateria informatica. Tra queste ci sono Kievenergo, Ukrtelecom, Kievstar, Sberbank, NovaPochta, Oshadbank e Otpbank oltre ai computer del consiglio dei Ministri, della metropolitana di Kiev e delle ferrovie dello Stato. Stessa sorte per i server della Rosneft, il colosso petrolifero pubblico russo, come fa sapere su Twitter la stessa compagnia. Una fonte vicina a una delle strutture della società, citata da Vedomosti, sottolinea che “tutti i computer della Bashneft – società acquisita da Rosneft – si sono resettati contemporaneamente, hanno scaricato un software non identificato e hanno mostrato sugli schermi l’immagine del virus WannaCry“. La Rosneft si è rivolta alle forze dell’ordine.

L’attacco, stando a quanto ricostruito dall’agenzia Unian, è stato effettuato con virus crittografici che impediscono l’accesso ai file nei computer e come nella recente ondata di attacchi attraverso il virus ‘WannaCry’ gli hacker chiederebbero un “riscatto” per riattivare i pc. “Credo non ci sia nessun dubbio che dietro a questi giochetti ci sia la Russia – le parole del consigliere del ministro dell’Interno ucraino Zoryan Shkiriak ai microfoni di 112 Ucraina – Questa è la manifestazione di una guerra ibrida“. Stando ad altri media, la portavoce dei servizi di sicurezza di Kiev ha detto che all’interno dell’agenzia si suppone che gli attacchi siano partiti dalla Russia o dai territori occupati del Donbass per poi espandersi su tutto il territorio ucraino.

In Francia, invece, è Saint Gobain, colosso nel settore della costruzione di materiali edili, che ha fatto sapere di essere stato attaccato dal virus. Il portavoce dell’azienda ha dichiarato a Bfmtv che “sono stati isolati i sistemi informatici infetti”. Colpito anche il sistema informatico dell’armatore di navi mercantili danese A.P.

Attacco Ramsoware

E’ stato il fine settimana dell’ennesimo RansomWare, ma questo ha avuto una attenzione mediatica molto elevata perché ha colpito realtà  molto importanti in tutto il mondo con grande visibilità.

Cosa fare per mettersi al sicuro

  1. Verificare l’eventuale compromissione da parte di un tecnico che abbia delle competenze specifiche.
  2. Installare tutti gli aggiornamenti previsti dal sistema operativo, in particolare l’aggiornamento MS17-010 rilasciato lo scorso 14 marzo 2017
  3. Dotarsi e Aggiornare il Sistema Antivirus sulla postazione di lavoro.
  4. Aggiornare il proprio Firewall di Rete all’ultimo update di sicurezza.
  5. Lanciare una scansione su tutto il disco della postazione di lavoro.

Buone abitudini per proteggere il tuo pc

Siccome il problema non è “se verremo attaccati”, ma “quando verremo attaccati”, per evitare problemi in futuro è importante seguire poche e semplici regole di cyber-hygiene:

  • Effettuare sempre il backup dei dati,
  • Conservare il backup in luoghi diversi, su memorie isolate
  • Non aprire email, file e cartelle sospette

Per ogni approfondimento sulla vostra rete contattateci info@assitech.net

Per tutti i nostri clienti con Firewall Watchguard e APT Block una buona notizia, probabilmente neanche si sono accorti di WannaCry perche’ il nostro servizio APT Blocker, disponibile per tutte le piattaforme hardware e virtuali, lo ha identificato e bloccato.

Guardatevi il video di Corey con la spiegazione tecnica:

https://www.secplicity.org/2017/05/14/wcry-2-0-potential-ransomworm-daily-security-byte/

Ecco come WatchGuard blocca WannaCry e le sue varianti grazie ai servizi di APT Blocking e IPS:

http://watchguardsupport.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000Ks7SAE&lang=en_US

Attenzione google.com non é ɢoogle.com

mailto:info@assitech.netGoogle

Quando si utilizza un motore di ricerca che per anni si è guadagnato una fiducia smisurata come Google, è probabile che ci si affidi ciecamente al suo dominio senza stare a controllare troppe volte. Tuttavia, non è mai saggio tenere basse le soglie d’attenzione quando si è online visto che scammer e spammer cercano di trovare continuamente nuovi espedienti per indurre la gente a compiere azioni senza volerlo. Il caso di ɢoogle.com ne è un esempio lampante.

Come i più esperti non faticheranno a capire, ɢoogle.com, non google.com, è una sorta di motore di ricerca fake che non ha nulla a che vedere con la Google di Sergey Brin e Larry Page. È un dominio registrato regolarmente che è apparso all’interno dei portali Google Analytics di alcuni siti a partire dal mese di aprile, spesso accompagnato dalla frase “Vote for Trump!”. Parte del traffico sul sito affiliato ad Analytics proveniva e proviene tuttora da “secret.ɢoogle.com”.

Navigando verso l’indirizzo si viene condotti a una pagina particolarmente sui generis che ha come URL il testo della celebre canzone Money dei Pink Floyd. Per fortuna la struttura del sito e la sua interfaccia utente è estremamente diversa da quella di Google quindi la pericolosità dello scam è piuttosto bassa per l’utente finale. Ma chi è alla base di secret.ɢoogle.com? La risposta è di Vitaly Popov, un celebre spammer russo che da anni usa tecniche per inviare traffico fake ai siti.

Popov è il proprietario del sito ilovevitaly.com, che ha una grafica molto simile a quella di ɢoogle.com, e non definisce quello che fa come spam criminoso ma come “marketing creativo”. La tecnica utilizzata in questo caso non è delle più innovative e si basa sull’uso di un carattere diverso dalla G tradizionale per scrivere la G iniziale di Google. Qui Popov ha utilizzato il carattere Unicode 0262, “Latin Letter Small Capital G”, e qualcuno gli ha permesso di registrare il dominio.

Ottenendo un indirizzo web del genere Popov può rendere autentici i suoi redirect verso altri siti, tuttavia come abbiamo scritto poco sopra è molto difficile scambiare la landing page di ɢoogle.com per quella di google.com. Il caso non dovrebbe però passare inosservato: la stessa tecnica potrebbe essere utilizzata con finalità fraudolente su siti di banche, e-commerce o social network, e lì i problemi per gli utenti finali potrebbero ingigantirsi notevolmente.

Se notate o non siete sicuri, contattateci.

02-425905 info@assitech.net