Ultime notizie

Ci sono prove che la campagna di ransomware #GoldenEye / #Petya  potrebbe non avere mirato a benefici finanziari, ma piuttosto alla distruzione dii dati.

• La scelta di un fornitore di servizi di posta elettronica regolare e non “a prova di proiettile “per  agire come canale di comunicazione era ovviamente una decisione sbagliata in termini di business.

• La mancanza di automazione nel processo di recupero di pagamenti e il processo di recupero  delle chiavi rende veramente difficile, per chi attacca, rispettare la loro promessa.

• C'è una totale mancanza di usabilità nella conferma di pagamento: l'utente deve digitare manualmente un tipo di istanza estremamente lunga e mista "chiave di installazione personale" + "wallet" , azione soggetta a errori di battitura.

Aggiornamento 6/28 06.00 GMT + 3

L'indirizzo di posta elettronica utilizzato dagli attori della minaccia per ottenere conferme di pagamento è stato sospeso da Posteo. Ciò significa che tutti i pagamenti effettuati durante la notte non potranno essere convalidati e quindi sicuramente non riceveranno la chiave di decrittografia. Non che abbiamo mai consigliato altrimenti, ma se stai pensando di pagare il riscatto, non farlo. Perderai i tuoi dati comunque, ma contribuisci a finanziare lo sviluppo di nuovi malware. Anche così, ci sono stati 15 pagamenti effettuati dopo la sospensione dell'indirizzo di posta elettronica. Il portafoglio ha totalizzato  3.64053686 BTC su 40 pagamenti, con un valore netto di 9.000 dollari americani.

Aggiornamento 21.30 GMT + 3

Alcune voci dell'industria hanno ipotizzato che il vettore di attacco iniziale fosse un aggiornamento compromesso dell'utilità software contabile M.E. Doc che tutte le aziende attaccate stavano usando. Abbiamo confermato attacchi in aziende che non hanno utilizzato questa soluzione software. Inoltre, un post di Facebook sulla pagina dell'azienda dice che il venditore nega le accuse [ucraino].

Aggiornamento 20.18 GMT + 3

Diverse aziende hanno confermato finora di essere state  vittima del ransowmare GoldenEye / Petya: il sistema di monitoraggio delle radiazioni di Chernobyl, la società legale DLA Piper, la società farmaceutica Merck, numerose banche, un aeroporto, la metropolitana di Kiev, la compagnia marittima danese Maersk, WPP e l'industria petrolifera russa Rosnoft. Gli attacchi sono stati diffusi in Ucraina, colpendo Ukrenergo, il distributore di potenza statale e diverse banche del paese.

Aggiornamento 18.45 GMT + 3

Gli operatori GoldenEye / Petya hanno già ricevuto 13 pagamenti in quasi due ore. $ 3.5K dollari americani in moneta digitale.

Aggiornamento 18.30 GMT + 3

Bitdefender Labs conferma che il GoldenEye / Petya ransomware utilizza lo sfruttamento EternalBlue per diffondersi da un computer all'altro. Gli exploit aggiuntivi sono usati anche per propagare. I dettagli arriveranno presto.

Bitdefender ha individuato una massiccia campagna di ransomware attualmente in corso nel mondo. Le informazioni preliminari dimostrano che il campione di malware responsabile dell'infezione è un clone quasi identico della famiglia di ransomware GoldenEye. Al momento non ci sono informazioni sul vettore di propagazione, ma si presume che sia trasportato da un componente wormable.

A differenza di molti ramsonware, la nuova variante GoldenEye ha due livelli di crittografia: uno che cifra singolarmente i file di destinazione sul computer e un altro che crittografa le strutture NTFS. Questo approccio impedisce ai computer delle vittime di essere riavviati in un ambiente operativo live e recuperare i dati da precedenti backup.

Proprio come Petya, GoldenEye crittografa l'intero disco rigido e nega l'accesso dell'utente al computer. Tuttavia, a differenza di Petya, non esiste una soluzione per aiutare le vittime a recuperare le chiavi di decrittazione dal computer.

Inoltre, dopo che il processo di crittografia è completo, il ransomware dispone di una routine specializzata che fa crashare il computer e attivare un riavvio che rende il computer inutilizzabile finché non viene pagato il riscatto di $ 300.

Bitdefender blocca i campioni attualmente conosciuti della nuova variante GoldenEye. Se si dispone di una soluzione di sicurezza Bitdefender consumer o business i computer non sono in pericolo.