Quando il Wannacry ransomware strappò attraverso l’Europa e l’italia in Maggio, c’era una certa logica per la maggiore scala di danni. Attacchi Ransomware sono nulla di nuovo, ma questa aveva un’arma segreta, un sofisticato software di sfruttare noto come EternalBlue, pubblicato da the Shadow Broker nel mese di aprile e ritiene sia stato sviluppato dalla NSA. Fu livello di stato-nazione armi rivolta contro di morbido, obiettivi civili, come rapinare una piccola città in banca con un carro armato. Se siete stati alla ricerca di risposte su come si sviluppa in modo molto veloce, non è necessario guardare lontano.
Ora, poco più di un mese dopo, un nuovo ceppo di ransomware ha inflitto danni simili con quasi nessuno di che potenza di fuoco. Una variante del Petya famiglia di ransomware, il virus ha infettato migliaia di sistemi in tutto il mondo, tra cui enormi multinazionali come Maersk, Rosneft e Merck, ma è fatto con molto meno materie prime. Petya è ancora utilizzando EternalBlue, ma ormai molte organizzazioni di destinazione sono protetti, e che l’exploit è molto meno cruciale per il ransomware di diffusione. Invece, Petya sfrutta più vulnerabilità fondamentali nel modo in cui gestiamo reti e, soprattutto, distribuire le patch. La loro non è accattivante come la NSA sfruttare, ma sono più potenti, e potrebbe lasciare organizzazioni molto più difficile che cercare di recuperare gli attacchi di oggi.
Spread SUPER veloce visto org 5K sistemi di colpire in meno di 10 minuti.
Riavvia il computer con riscatto messaggio (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) 27 Giugno 2017
Dove WannaCry focalizzata sul mal rattoppato sistemi, Petya sembra aver colpito più difficile tra grandi reti aziendali, un modello che è in parte spiegato da come la diffusione del virus. Una volta che un singolo computer della rete è stato infettato, Petya leva di Windows strumenti di rete come Strumentazione Gestione Windows (WMI) e PsExec per infettare altri computer sulla stessa rete.
Entrambi gli strumenti sono normalmente utilizzate per l’accesso come amministratore, ma il ricercatore di sicurezza Lesley Carhart dice che sono spesso utilizzati dagli hacker come un modo per diffondere malware all’interno di una rete compromessa. “WMI è un super-efficace movimento laterale metodo per gli hacker. È spesso consentito e built-in, quindi raramente connesso o bloccato da strumenti di sicurezza”, dice Carhart. “Psexec è un po ‘ più ammortizzati e più controllati, ma ancora molto efficace.”