Campagna di Ransomware Petya-EternalBlue
06/27/2017
Proto: N080617.
Con la presente Yoroi desidera informarLa riguardo ad una virulenta campagna di attacco ransomware a diffusione globale attualmente in corso. La minaccia è di estrema pericolosità in quanto risulta essere riconducibile ad una variante della famiglia Petya, noto ransomware in grado di rendere inutilizzabile l’MBR (Master Boot Record) del disco in uso dalla macchina vittima, con capacità di propagazione all’interno di host raggiungibili attraverso la rete locale.
Al momento i principali bersagli della campagna di attacco sono organizzazioni dell’Est-Europa, India, Olanda, Spagna e Gran Bretagna. Le informazioni attualmente disponibili indicano che le infezioni ransomware Petya-EternalBlue sono state originate da documenti malevoli in grado di sfruttare la vulnerabilità di Microsoft Office/WordPad nota con l’identificativo CVE-2017-0199, a seguito dell’apertura del file malevolo il ransomware inizia le operazioni di cifratura e di propagazione all’interno della rete locale attraverso lo sfruttamento di vulnerabilità SMB (MS17-010).
Benché le informazioni relative ai vettori di propagazione iniziali del malware non siano confermate, Yoroi suggerisce di sensibilizzare maggiormente i vostri utenti all’apertura di documenti inattesi ricevuti via mail o in altre forme, eventualmente indicando di richiedere supporto in caso di ricezioni sospette. Yoroi suggerisce inoltre di verificare lo stato di aggiornamento dei sistemi interni in relazione alle patch di sicurezza MS17-010, di restringere l’accesso ai servizi SMB e di limitare il più possibile la raggiungibilità di rete delle macchine con servizi SMB non aggiornabili al fine di scongiurare propagazioni del ransomware Petya-EternalBlue.
I laboratori Yoroi stanno proattivamente analizzando i campioni della minaccia in oggetto al fine di rilevare ulteriori indicatori relativi alla campagna di attacco in atto per garantire protezione presso i propri Clienti attraverso il continuo aggiornamento delle sonde Genku installate.
Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
Al momento i principali bersagli della campagna di attacco sono organizzazioni dell’Est-Europa, India, Olanda, Spagna e Gran Bretagna. Le informazioni attualmente disponibili indicano che le infezioni ransomware Petya-EternalBlue sono state originate da documenti malevoli in grado di sfruttare la vulnerabilità di Microsoft Office/WordPad nota con l’identificativo CVE-2017-0199, a seguito dell’apertura del file malevolo il ransomware inizia le operazioni di cifratura e di propagazione all’interno della rete locale attraverso lo sfruttamento di vulnerabilità SMB (MS17-010).
Benché le informazioni relative ai vettori di propagazione iniziali del malware non siano confermate, Yoroi suggerisce di sensibilizzare maggiormente i vostri utenti all’apertura di documenti inattesi ricevuti via mail o in altre forme, eventualmente indicando di richiedere supporto in caso di ricezioni sospette. Yoroi suggerisce inoltre di verificare lo stato di aggiornamento dei sistemi interni in relazione alle patch di sicurezza MS17-010, di restringere l’accesso ai servizi SMB e di limitare il più possibile la raggiungibilità di rete delle macchine con servizi SMB non aggiornabili al fine di scongiurare propagazioni del ransomware Petya-EternalBlue.
I laboratori Yoroi stanno proattivamente analizzando i campioni della minaccia in oggetto al fine di rilevare ulteriori indicatori relativi alla campagna di attacco in atto per garantire protezione presso i propri Clienti attraverso il continuo aggiornamento delle sonde Genku installate.
Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
