BLUEKEEP, il rischio di una nuova ondata di RANSOMWARE !!
ATTENZIONE, Remote Desktop a rischio !!
Una vulnerabilità del sevizio RDP (Remote Desktop Protocol) Microsoft , conosciuto anche come Terminal Services, consentirebbe l’esecuzione di codice remoto, mettendo a GRAVISSIMO rischio i sistemi affetti.
Questa nuova vulnerabilità Microsoft CVE-2019-0708 conosciuta anche con il nome BlueKeep, sebbene Microsoft abbia rilasciato una patch, potenzialmente milioni di macchine sono ancora prive di patch e rimangono vulnerabili e potrebbe presto diventare un vettore per la diffusione di malware, generando un’epidemia di RANSOMWARE simile a quella provocata da WannaCry due anni fa.
I sistemi operativi affetti da questa grave vulnerabilità sono:
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2003
- Windows XP
Se avete PC o SERVER con i suddetti sistemi operativi, effettuate subito un aggiornamento del sistema operativo e verificate che tale patch sia stata correttamente installata.
Dato il potenziale impatto a clienti e alle aziende, MICROSOFT ha preso la decisione per rendere disponibili gli aggiornamenti della protezione per le piattaforme che non sono più nel supporto mainstream (Windows Server 2003 e Windows XP) , per scaricare gli aggiornamenti per risolvere questa vulnerabilità clicca qui.
RANSOMWARE, ANCORA IN POLE POSITION NELLE STRATEGIE DEI CYBERCRIMINALI.
Nel primo semestre 2018, i “Ransomware” continuano ad essere gli strumenti preferiti dalla criminalità informatica con danni stimati in centinaia di milioni di dollari in tutto il mondo. La criminalità sfrutta questi tipi di malware, rendendo indisponibili i dati del malcapitato, chiedendogli un riscatto che varia mediamente da € 100 a € 500 (ovviamente in cryptovalute) ma possono arrivare anche a € 10.000/ €15.000 per fornire la “chiave” per recuperare i dati. Anche se l’invito è di NON PAGARE alcuna cifra (anche nel caso di cifre esigue), in quanto questo pagamento non solo alimenta di fatto la criminalità ma la spinge a perpetuare questo tipo di reato con strumenti sempre più efficaci, si continuano a registrare numeri sempre costanti di vittime che non avendo altre speranze di recuperare i propri dati, pagano l’importo richiesto con la speranza di ricevere le istruzioni che però spesso non arriveranno mai o comunque inutili perché magari nel frattempo i sever con le chiavi sono stati chiusi.
Fare vittime con i Ransomware per i criminali informatici è molto semplice e non richiede strategie di “Hacking” avanzate come possono invece essere richieste per “attaccare” o “colpire” uno determinato, specifico obiettivo.
Di fatto, per i criminali, non è importante chi si colpisce ma colpire il più alto numero possibile di vittime, non importa se si tratta di un singolo utente magari uno studente o una casalinga, un impresa artigiana, un libero professionista, una multinazionale o un ospedale, quello che conta è il numero delle vittime perché di fatto più sono le vittime colpite più alto sarà il numero di possibili “disperati” che, non vedendo altre possibilità di recuperare i propri dati in quanto il piano di “Disaster Recovery” non ha funzionato o peggio è ASSENTE, pagheranno il riscatto !!
BAD RABBIT – Il nuovo attacco Ransomware che si sta diffondendo velocemente in tutta Europa.
Questo nuovo attacco Ransomware denominato “BAD RABBIT” è partito il 24 ottobre scorso e in poche ore ha velocemente colpito oltre 200 grandi aziende in Russia, Ukraina, Turchia e Germania, diffondendosi poi a macchia d’olio a tutto il resto dell’Europa.
Come tutti i Ransomware è particolarmente pericoloso per la perdita di dati, ma in questo caso la maggiore preoccupazione è rappresentata dal metodo di diffusione.
Infatti al momento, “Bad Rabbit”, si propone come un falso aggiornamento di “Adobe Flash” per attirare le vittime ad installare involontariamente il malware. Infatti, non sono stati utilizzati exploit, ma un vero e proprio programma che simula di essere un aggiornamento di “Adobe Flash” scaricato da siti web compromessi (del quale la vittima non si accorge), ma vede solo la richiesta di aggiornamento da parte di questo falso programma.
Ovviamente non solo chi arriva “navigando” sui siti web attaccati che diffondono questo malware ne diventa una vittima, ma come spesso capita, lo strumento di diffusione “preferito” è come sempre la posta elettronica, per questo la diffusione di “BAD RABBIT” sta velocemente interessando tutta l’Europa e il resto del mondo.
Si raccomanda quindi particolare attenzione alla richiesta di aggiornamenti “Adobe Flash” prima di procedere. Per verificare la corretta esecuzione di Adobe Flash player si consigli di visitare il seguente indirizzo ufficiale del prodotto: https://helpx.adobe.com/it/flash-player.html .
Inoltre come sempre si raccomanda di verificare gli aggiornamenti del sistema operativo e dell’antivirus; oltre, FONDAMENTALE per la protezione da attacchi come questo, dotarsi di sistemi di protezione contro le minacce sconosciute, meglio, se con servizi gestiti da professionisti della sicurezza IT, come i nostri servizi ATPP (clicca qui per richiedere maggiori informazioni ).
Giugno, Petya torna ancora più pericoloso !
Il 27 Giugno 2017, è avvenuto un attacco ransomware su larga scala utilizzando una variante della nota minaccia GoldenEye. Oltre alla cifratura dei file presenti sui computer colpiti, questa variante di ransomware conosciuta come Petya 2.0 (noto anche come NotPetya da parte di alcuni ricercatori) tenta di effettuare la cifratura del Master Boot Record (MBR) bloccando completamente l’accesso al computer. L’attacco sembra essere la replica del temuto WannaCry avvenuto solo il mese scorso.
Questo nuovo attacco ransomware globale sembra aver colpito prevalentemente Europa, Ucraina e Russia dove svariate banche e aziende petrolifere ne hanno subito le conseguenze. L’Italia risulta la più colpita in Europa dopo l’Ucraina.
Purtroppo queste notizie stanno diventando la normalità. WannaCry il mese scorso, Petya 2.0 di questo mese, e ci sarà qualcosa di nuovo appena dietro l’angolo. Ransomware è una minaccia critica per le aziende di tutte le forme e dimensioni, pertanto vogliamo ricordare che solo con una politica di gestione delle minacce informatiche possiamo dirci al sicuro. Contattateci per una analisi della vostra azienda e valutare insieme le misure da adottare.
Il mese di Maggio è stato il mese di WannaCry
Lo scorso maggio, come ormai è noto a tutti, è stato il mese dell’ennesimo Ransomware.
Questo ha avuto una attenzione mediatica molto elevata perché ha colpito diffusamente e realtà molto importanti in tutto il mondo (si stima siano stati coinvolti oltre 200.000 PC in tutto il mondo) con grande visibilità su quotidiani e tg nazionali, ma, ATTENZIONE – NON E’ FINITA !
Una variante di WannaCry circola già da oltre 2 settimane.
Il famoso ‘bottone di spegnimento’ di cui domenica 14-05-17 , quasi un mese fa, i media hanno dato notizia, e che sembrava rallentare la diffusione, infatti, non funziona più.
Già nella mattina di lunedì 15-05-17 circolava la nuova variante che mascherando la sorgente, tornava a funzionare e nelle ultime settimane ha colpito duramente in Cina per poi continuare nuovamente in Europa e nel resto del mondo, senza finire più sui giornali ma continuando comunque a colpire duramente.
Questo crypto-ransomware conosciuto come WannaCrypt, WCry, Wana Decrypt0r,WannaCry o simili – è conosciuto da tempo e non è neppure tra i più sofisticati, eppure da quasi un mese è esploso in tutto il mondo, infettando, in oltre 90 paesi, aziende, ospedali, stazioni della metropolitana, università, operatori e varie organizzazioni e gli utenti infetti non sono in grado di utilizzare le loro macchine se non pagano un riscatto in Bitcoin.
Questo avvenimento purtroppo dimostra come ancora oggi molti sistemi siano vulnerabili senza una adeguata politica sulla sicurezza.