{"id":13654,"date":"2017-06-28T09:23:31","date_gmt":"2017-06-28T09:23:31","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=13654"},"modified":"2019-11-22T11:12:43","modified_gmt":"2019-11-22T09:12:43","slug":"expetr-for-b2b","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/expetr-for-b2b\/13654\/","title":{"rendered":"ExPetr colpisce le aziende"},"content":{"rendered":"<p>Stiamo assistendo all\u2019<a href=\"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/\" target=\"_blank\" rel=\"noopener\">epidemia di un nuovo tipo di cryptomalware<\/a>. I nostri esperti l\u2019hanno chiamato ExPetr (altri lo chiamano Petya, PetrWrap, ecc). La differenza essenziale di questo nuovo malware \u00e8 il fatto che questa volta i criminali hanno scelto i loro obiettivi con estrema precisione: la maggior parte delle vittime sono aziende, non consumatori.<\/p>\n<blockquote>\n<h2><strong><a href=\"https:\/\/go.kaspersky.com\/IT_AntiransomwareTool_SOC_2017.html?utm_source=smm_kd&amp;utm_medium=it_kd_o_170629\" target=\"_blank\" rel=\"noopener nofollow\">SCARICA GRATUITAMENTE IL KASPERSKY ANTI- RANSOMWARE TOOL PER PROTEGGERE LA TUA AZIENDA DA ATTACCHI RANSOMWARE<\/a><\/strong><\/h2>\n<\/blockquote>\n<p>La parte peggiore \u00e8 che molte altre infrastrutture critiche sono vittime di questo malware. Ad esempio, alcuni voli <a href=\"https:\/\/threatpost.com\/complex-petya-like-ransomware-outbreak-worse-than-wannacry\/126561\/\" target=\"_blank\" rel=\"noopener nofollow\">hanno subito ritardi all\u2019aeroporto Boryspil di Kiev<\/a> a causa dell\u2019attacco. E la situazione continua a peggiorare: il sistema di controllo delle radiazioni della nota <a href=\"http:\/\/edition.cnn.com\/2017\/06\/27\/europe\/chernobyl-cyber-attack\/index.html?iid=EL\" target=\"_blank\" rel=\"noopener nofollow\">centrale nucleare di Chernobyl<\/a> si \u00e8 bloccato per lo stesso motivo.<\/p>\n<p>Perch\u00e9 i sistemi delle infrastrutture critiche continuano ad essere colpite dai cryptomalware? Perch\u00e9 sono collegati direttamente alle reti aziendali o hanno accesso diretto a Internet.<\/p>\n<p><strong>Cosa fare<\/strong><\/p>\n<p>Proprio come <a href=\"https:\/\/www.kaspersky.it\/blog\/wannacry-for-b2b\/10338\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>, ci troviamo davanti a due diversi problemi: penetrazione iniziale del malware nell\u2019infrastruttura dell\u2019azienda e la diffusione al suo interno. Questi due problemi dovrebbero essere trattati separatamente.<\/p>\n<p><strong>Penetrazione iniziale<\/strong><\/p>\n<p>I nostri esperti indicano diversi percorsi attraverso cui il malware penetra nella rete. In alcuni casi, questo si \u00e8 servito di siti pericolosi (infezione drive-by); gli utenti hanno ricevuto il malware camuffato da aggiornamento del sistema. In altri casi, l\u2019infezione \u00e8 stata diffusa dagli aggiornamenti del software di terze parti (ad esempio, attraverso il software di contabilit\u00e0 ucraino chiamato M.E.Doc). In altre parole, non esiste un unico punto d\u2019accesso prevedibile da controllare.<\/p>\n<p>Abbiamo alcuni consigli per evitare che il malware penetri nella vostra infrastruttura:<\/p>\n<ul>\n<li>Comunicate ai vostri dipendenti di non aprire mai allegati sospetti o di non cliccare sui link nelle mail (sembra scontato, ma la gente continua a farlo);<\/li>\n<li>Assicuratevi che tutti i sistemi connessi a Internet siano dotati di soluzioni di sicurezza aggiornate e che abbiano le componenti d\u2019analisi comportamentale;<\/li>\n<li>Controllate che le componenti critiche importanti delle soluzioni di sicurezza siano attivate (per i prodotti di Kaspersky Lab, assicuratevi che la rete di intelligence su cloud Kaspersky Security Network e il sistema comportamentale System Watcher siano attivi);<\/li>\n<li>Aggiornate regolarmente le soluzioni di sicurezza;<\/li>\n<li>Utilizzate strumenti per controllare e monitorare le soluzioni di sicurezza di un singolo terminale amministrativo (e non permettete che gli impiegati ne modifichino le impostazioni).<\/li>\n<\/ul>\n<p>Come ulteriore misura di protezione (soprattutto se non state utilizzando i prodotti Kaspersky Lab), potete installare il nostro Kaspersky Anti-Ransomware Tool gratuito, compatibile con molte altre soluzioni di sicurezza.<\/p>\n<div class=\"kasbanner-banner kasbanner-image\"><strong>Diffusione all\u2019interno della rete<\/strong><\/div>\n<div><\/div>\n<p>Dopo aver messo le mani su un singolo sistema, ExPetr \u00e8 molto meglio di WannaCry quando si tratta di diffondersi all\u2019interno di una rete locale. Questo perch\u00e9 possiede un\u2019ampia gamma di funzionalit\u00e0 per questo scopo specifico. In primo luogo, utilizza almeno due exploit: EternalBlue modificato (utilizzato anche da WannaCry) ed EternalRomance (un altro exploit di TCP porta 445). In secondo luogo, quando infetta un sistema in cui un utente possiede accesso come amministratore, inizia a diffondersi utilizzando la tecnologia di Windows Management Instrumentation o lo strumento di controllo del sistema remoto PsExec.<\/p>\n<p>Per evitare la diffusione del malware nella vostra rete (e soprattutto nei sistemi dell\u2019infrastruttura critica), dovreste:<\/p>\n<ul>\n<li>Isolare i sistemi che richiedono una connessione Internet attiva in un segmento di rete diverso;<\/li>\n<li>Dividere la rete restante in una sottorete o in diverse sottoreti virtuali con connessioni limitate, collegando solo quei sistemi che le richiedono per i processi tecnologici;<\/li>\n<li>Seguire il consiglio degli esperti ICS CERT di Kaspersky Lab <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2017\/06\/22\/wannacry-on-industrial-networks\/\" target=\"_blank\" rel=\"noopener\">fornito dopo l\u2019epidemia di WannaCry<\/a> (diretto soprattutto alle aziende industriali);<\/li>\n<li>Assicurarvi di installare gli aggiornamenti di sicurezza critici di Windows. Particolarmente importante \u00e8 l\u2019aggiornamento <a href=\"https:\/\/www.kaspersky.it\/blog\/wannacry-windows-update\/10370\/\" target=\"_blank\" rel=\"noopener\">MS17-010<\/a> che risolve le vulnerabilit\u00e0 diffuse da EternalBlue ed EternalRomance;<\/li>\n<li>Isolare i server di backup dal resto di reti e non utilizzare la connessione ai drive remoti sui server di backup;<\/li>\n<li>Proibire l\u2019esecuzione di un file chiamato <em>dat<\/em> utilizzando il Controllo Applicazioni di Kaspersky Endpoint Security per la Business suite o la funzionalit\u00e0 Windows AppLocker;<\/li>\n<li>Per quanto riguarda le infrastrutture che contengono sistemi incorporati multipli, utilizzare soluzioni di sicurezza specializzati come Kaspersky Embedded Security Systems;<\/li>\n<li>Configurare la modalit\u00e0 Default Deny come ulteriore misura di protezione sui sistemi in cui \u00e8 possibile farlo (ad esempio, su computer con un software raramente modificato). Tutto questo pu\u00f2 effettuarsi all\u2019interno della componente Controllo Applicazioni di Kaspersky Endpoint Security per la Business suite.<\/li>\n<\/ul>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/vzu20QttlJs?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Come sempre, vi consigliamo vivamente di utilizzare un metodo di sicurezza delle informazioni multilivello, incorporando gli aggiornamenti automatici del software (incluso il sistema operativo), una componente antiransomware e una componente che controlli tutti i processi all\u2019interno del sistema operativo.<\/p>\n<div class=\"kasbanner-banner kasbanner-image\"><strong>Pagare o non pagare<\/strong><\/div>\n<p>Infine, anche se in genere non consigliamo di pagare il riscatto, capiamo che alcune aziende credono di non avere altra scelta. Ad ogni modo, se i vostri dati sono stati gi\u00e0 colpiti dal ransomware ExPetr, non dovreste pagare in alcun caso.<\/p>\n<p>I nostri esperti hanno scoperto che questo malware non possiede alcun meccanismo per salvare il codice identificativo del computer. Senza questo, i responsabili della minaccia non sono in grado di estrarre le informazioni necessarie di cui si ha bisogno per decriptare i file. In poche parole, non sono in grado di aiutare le vittime a recuperare i dati.<\/p>\n<h2>Webinar d\u2019emergenza su Petya\/ExPetr<\/h2>\n<p>Per aiutare le aziende a conoscere il malware ExPetr e a difendersi da esso, i nostri esperti hanno organizzato un webinar d\u2019emergenza. Juan Andres Guerrero-Saade, ricercatore senior di sicurezza del nostro Global Research and Analysis Team (GReAT) e Matt Suiche del Comae Technologies hanno presentato le ultime informazioni su questa minaccia e hanno spiegato il motivo per cui non si tratta di un ransomware ma di un wiper utilizzato per effettuare sabotaggi.<br>\n<span class=\"embed-youtube\"><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/b4RXy7Qja3I?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Enorme problema: oggetti delle infrastrutture critiche rientrano tra le vittime di ExPetr (conosciuto anche come NotPetya).<\/p>\n","protected":false},"author":700,"featured_media":13655,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2434,2465,2467,638,2468,1929,635,441,2430],"class_list":{"0":"post-13654","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-cryptomalware","10":"tag-epidemia","11":"tag-expetr","12":"tag-minacce","13":"tag-notpetya","14":"tag-petya","15":"tag-ransomware","16":"tag-trojan","17":"tag-wannacry"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/expetr-for-b2b\/13654\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/expetr-for-b2b\/8718\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/expetr-for-b2b\/4736\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/expetr-for-b2b\/11726\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/expetr-for-b2b\/10752\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/expetr-for-b2b\/13617\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/expetr-for-b2b\/17896\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/expetr-for-b2b\/3342\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/expetr-for-b2b\/17343\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/expetr-for-b2b\/6994\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/expetr-for-b2b\/17329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/expetr-for-b2b\/17538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/minacce\/","name":"minacce"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/13654","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=13654"}],"version-history":[{"count":13,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/13654\/revisions"}],"predecessor-version":[{"id":18759,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/13654\/revisions\/18759"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/13655"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=13654"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=13654"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=13654"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}