BLUEKEEP, il rischio di una nuova ondata di RANSOMWARE !!
ATTENZIONE, Remote Desktop a rischio !!
Una vulnerabilità del sevizio RDP (Remote Desktop Protocol) Microsoft , conosciuto anche come Terminal Services, consentirebbe l’esecuzione di codice remoto, mettendo a GRAVISSIMO rischio i sistemi affetti.
Questa nuova vulnerabilità Microsoft CVE-2019-0708 conosciuta anche con il nome BlueKeep, sebbene Microsoft abbia rilasciato una patch, potenzialmente milioni di macchine sono ancora prive di patch e rimangono vulnerabili e potrebbe presto diventare un vettore per la diffusione di malware, generando un’epidemia di RANSOMWARE simile a quella provocata da WannaCry due anni fa.
I sistemi operativi affetti da questa grave vulnerabilità sono:
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2003
- Windows XP
Se avete PC o SERVER con i suddetti sistemi operativi, effettuate subito un aggiornamento del sistema operativo e verificate che tale patch sia stata correttamente installata.
Dato il potenziale impatto a clienti e alle aziende, MICROSOFT ha preso la decisione per rendere disponibili gli aggiornamenti della protezione per le piattaforme che non sono più nel supporto mainstream (Windows Server 2003 e Windows XP) , per scaricare gli aggiornamenti per risolvere questa vulnerabilità clicca qui.
RANSOMWARE, ANCORA IN POLE POSITION NELLE STRATEGIE DEI CYBERCRIMINALI.
Nel primo semestre 2018, i “Ransomware” continuano ad essere gli strumenti preferiti dalla criminalità informatica con danni stimati in centinaia di milioni di dollari in tutto il mondo. La criminalità sfrutta questi tipi di malware, rendendo indisponibili i dati del malcapitato, chiedendogli un riscatto che varia mediamente da € 100 a € 500 (ovviamente in cryptovalute) ma possono arrivare anche a € 10.000/ €15.000 per fornire la “chiave” per recuperare i dati. Anche se l’invito è di NON PAGARE alcuna cifra (anche nel caso di cifre esigue), in quanto questo pagamento non solo alimenta di fatto la criminalità ma la spinge a perpetuare questo tipo di reato con strumenti sempre più efficaci, si continuano a registrare numeri sempre costanti di vittime che non avendo altre speranze di recuperare i propri dati, pagano l’importo richiesto con la speranza di ricevere le istruzioni che però spesso non arriveranno mai o comunque inutili perché magari nel frattempo i sever con le chiavi sono stati chiusi.
Fare vittime con i Ransomware per i criminali informatici è molto semplice e non richiede strategie di “Hacking” avanzate come possono invece essere richieste per “attaccare” o “colpire” uno determinato, specifico obiettivo.
Di fatto, per i criminali, non è importante chi si colpisce ma colpire il più alto numero possibile di vittime, non importa se si tratta di un singolo utente magari uno studente o una casalinga, un impresa artigiana, un libero professionista, una multinazionale o un ospedale, quello che conta è il numero delle vittime perché di fatto più sono le vittime colpite più alto sarà il numero di possibili “disperati” che, non vedendo altre possibilità di recuperare i propri dati in quanto il piano di “Disaster Recovery” non ha funzionato o peggio è ASSENTE, pagheranno il riscatto !!
Il mese di Maggio è stato il mese di WannaCry
Lo scorso maggio, come ormai è noto a tutti, è stato il mese dell’ennesimo Ransomware.
Questo ha avuto una attenzione mediatica molto elevata perché ha colpito diffusamente e realtà molto importanti in tutto il mondo (si stima siano stati coinvolti oltre 200.000 PC in tutto il mondo) con grande visibilità su quotidiani e tg nazionali, ma, ATTENZIONE – NON E’ FINITA !
Una variante di WannaCry circola già da oltre 2 settimane.
Il famoso ‘bottone di spegnimento’ di cui domenica 14-05-17 , quasi un mese fa, i media hanno dato notizia, e che sembrava rallentare la diffusione, infatti, non funziona più.
Già nella mattina di lunedì 15-05-17 circolava la nuova variante che mascherando la sorgente, tornava a funzionare e nelle ultime settimane ha colpito duramente in Cina per poi continuare nuovamente in Europa e nel resto del mondo, senza finire più sui giornali ma continuando comunque a colpire duramente.
Questo crypto-ransomware conosciuto come WannaCrypt, WCry, Wana Decrypt0r,WannaCry o simili – è conosciuto da tempo e non è neppure tra i più sofisticati, eppure da quasi un mese è esploso in tutto il mondo, infettando, in oltre 90 paesi, aziende, ospedali, stazioni della metropolitana, università, operatori e varie organizzazioni e gli utenti infetti non sono in grado di utilizzare le loro macchine se non pagano un riscatto in Bitcoin.
Questo avvenimento purtroppo dimostra come ancora oggi molti sistemi siano vulnerabili senza una adeguata politica sulla sicurezza.
I Ransomware continuano a colpire duramente
I Ransomware continuano a colpire duramente.
Come raccontiamo nell’articolo “in evidenza” di questo mese, una nuova ondata di diffusione di questo tipo di Malware è tutt’ora in corso.
In questo caso si tratta del crypto-ransomware conosciuto con i nomi WannaCrypt, WCry, Wana Decrypt0r, WannaCry o simili, si diffonde agli endpoint Windows vulnerabili da un Trojan che si diffonde all’interno delle reti sfruttando una vulnerabilità nei servizi SMB di condivisione dei file di Microsoft.
Più in particolare, sfrutta un exploit che utilizza varie vulnerabilità dei servizi SMB che Microsoft ha “patchato” (corretto) già da marzo per le ultime versioni di Windows e oggi per le versioni precedenti.
Tutti i sistemi non aggiornati rimangono vulnerabili e quindi possono essere attaccati se non dispongono di sistemi avanzati di protezione delle minacce come il nostro servizio ATPP1.
SI CONSIGLIA QUINDI DI VERIFICARE CHE GLI AGGIORNAMENTI DI WINDOWS SIANO ATTIVI E FUNZIONANTI !!
1Se volete saperne di più contattateci per una offerta personalizzata.