In questi giorni numerose organizzazioni – tra le quali molte in Europa – hanno segnalato significativi disservizi che sono stati attribuiti al ransomware Petya. Sulla base delle informazioni iniziali, questa variante del ransomware Petya, può essere diffusa tramite lo sfruttamento dell’exploit EternalBlue già utilizzato nell’attacco WannaCry del mese scorso.
L’analisi iniziale dei reperti e del traffico di rete nei network delle vittime da parte FireEye – la società di Intelligence Security – indica che è stata utilizzata una versione modificata dell’exploit SMB EternalBlue, almeno in parte, per diffondersi lateralmente con i comandi WMI, MimiKatz e PSExec così da propagare altri sistemi.
L’analisi è ancora in corso e vi saranno aggiornamenti tramite i nostri blog non appena nuove informazioni saranno disponibili. FireEye ha mobilitato un Community Protection Event e sta continuando a indagare su questi report e sull’attività di minaccia coinvolta in questi distruttivi incidenti. FireEye come servizio (FaaS) è costantemente e attivamente impegnata nel monitoraggio degli ambienti dei clienti.
Questa avvenimento evidenzia l’importanza di assicurare i propri sistemi contro le infezioni da ransomware e l’exploit EternalBlue. Microsoft ha fornito una guida per proteggere i sistemi Windows contro lo sfruttamento EternalBlue nel contesto del ransomware WannaCry. Una strategia di back-up robusta, una segmentazione di rete e altre difese contro il ransomware possono aiutare le organizzazioni a difendersi dalle operazioni di distribuzione di ransomware e ad eliminare rapidamente le infezioni.
