A poco più di un mese dal devastante WannaCry, il ransomware che in poco tempo ha colpito più di 300 mila computer in tutto il mondo, in queste ultime ore molte aziende stanno facendo i conti con Petya, il nuovo malware che dall'Ucraina si sta rapidamente diffondendo in Europa, India, Russia e USA.
Come WannaCry anche Petya cripta i dati contenuti nei dispositivi infettati e chiede un riscatto in cambio della loro restituzione. Per infettare, questo ransomware sfrutta una falla presente nel protocollo SMB di Windows, cioè la porta che permette a stampanti e computer di comunicare tra loro. Perciò una volta infettato il computer principale di una rete aziendale, verranno infettati tutti i dispositivi ad esso collegati.
Pochi antivirus sono in grado di riconoscerlo ed eliminarlo, per questa ragione ti proponiamo 5 regole da seguire per difenderti al meglio da questo tipo di attacchi informatici.
5 regole per difendersi da Petya
- Innanzitutto gli utenti non devono essere amministratori. Questa è la prima buona regola da seguire.
- Avere il sistema operativo aggiornato. Anche questo passaggio è fondamentale per non permettere all’expoit di entrare in azienda. Nel caso di Petya dopo che un client è stato infettato anche gli altri client già aggiornati sono comunque a rischio.
- Disabilitare SMB1. Nella prossima versione di Windows 10 SMB1 verrà disabilitato di default. Ad oggi questo non è così. Qui trovate come farlo.
- Vietare l’accesso alla rete agli utenti locali. Immaginando che tutte le credenziali di amministratore locale siano le stesse (prassi purtroppo molto comune anche se da evitare) inibire l’accesso da parte di tali utenti agli altri PC in rete aiuta a limitare la proliferazione del malware. È possibile quindi applicare questa GPO: Group Policy > Computer > Policies > Windows > Security > Local > Rights > Deny access from network > Add "Local account"
- Come “vaccino” per questo malware (gli altri punti invece sono validi anche per altri tipi di attacchi) è stato trovato questo “killswitch”: creare un file in read only in C:\windows con il nome “perfc”. Qui trovi come distribuire il “vaccino” via GPO.
Infine, è molto importante notare che, sui PC oggetto di attacco, il malware esegue un tentativo di recupero delle credenziali di ogni utente che ha avuto accesso localmente. Al fine di limitare i danni che l’attacco causa, è quindi raccomandato evitare che utenti membri del gruppo “Domain Admins” eseguano logon sui client: per gestire i client ed eseguire le operazioni di supporto più comuni è preferibile utilizzare account di dominio che non siano membri del gruppo “Domain Admins”.
Vuoi scoprire come difenderti al meglio non solo da Petya ma da ogni tipo di malware che potrebbe infettare la tua azienda? Contattaci!