Quando tecnici e aziende ci raccomandano di tenere i nostri sistemi operativi aggiornati non lo fanno per perdere tempo: purtroppo la dimostrazione è arrivata nel modo peggiore possibile, con un attacco informatico dai risvolti a dir poco disastrosi e che, in breve tempo, ha messo in difficoltà il mondo intero. [continua..]
Inserite di seguito i vostri commenti.
Ultima modifica di malefika il sab mag 20, 2017 8:55 am, modificato 9 volte in totale.
Una cosa non ho visto, tutti parlano degli effetti, ma pochi dicono da dove parte l'infezione.
La solita mail con fattura falsa o qualche pagina web taroccata?
Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda....
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
crazy.cat ha scritto: ↑sab mag 13, 2017 9:35 am
Una cosa non ho visto, tutti parlano degli effetti, ma pochi dicono da dove parte l'infezione.
La solita mail con fattura falsa o qualche pagina web taroccata?
Si, il solito impiegato che si fa fregare dalla bufala di turno. Se non exploitasse Samba sarebbe stato come qualsiasi altro ransomware... Comunque hai ragione: menzionerò anche quest'aspetto nell'articolo.
crazy.cat ha scritto: ↑sab mag 13, 2017 9:35 am
Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda....
E questo è il risultato... che tristezza.
"Vi è mai capitato di sdraiarvi a terra in una tiepida notte d'estate, guardare le stelle e chiedervi perché siete qui? Qual è il vostro posto nel mondo e cosa dovreste fare della vostra vita? Be', nemmeno a me." (Linus Torvalds)
"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer can be addressed in other infected machines"
Come volevasi dimostrare :\
"Vi è mai capitato di sdraiarvi a terra in una tiepida notte d'estate, guardare le stelle e chiedervi perché siete qui? Qual è il vostro posto nel mondo e cosa dovreste fare della vostra vita? Be', nemmeno a me." (Linus Torvalds)
malefika ha scritto: ↑sab mag 13, 2017 10:13 am
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer can be addressed in other infected machines"[/i]
Come volevasi dimostrare
Azz....posso immaginare la strage che può aver fatto su intere postazioni non aggiornate, visto che sembra proprio avere le funzionalità di un worm
"Vi è mai capitato di sdraiarvi a terra in una tiepida notte d'estate, guardare le stelle e chiedervi perché siete qui? Qual è il vostro posto nel mondo e cosa dovreste fare della vostra vita? Be', nemmeno a me." (Linus Torvalds)
crazy.cat ha scritto:
La solita mail con fattura falsa o qualche pagina web taroccata?
Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda....
basterebbe allestire un server wsus e la banda viene salvaguardata...
Quello che in molti non comprendono è che il valore dei dati e la loro disponibilità valgono più di qualsiasi altra cosa
farbix89 ha scritto: ↑sab mag 13, 2017 10:16 am
Azz....posso immaginare la strage che può aver fatto su intere postazioni non aggiornate, visto che sembra proprio avere le funzionalità di un worm
infatti i vecchi ramsonware non si replicavano, il loro payload consisteva nel criptare i file e scomparire lasciando solo le istruzioni per il pagamento. Questo invece oltre al danno si propaga come il vecchio NIMDA che non tutti ricordano ma che a suo tempo fece tantissimi danni.
Leggo di persone che si vantano di avere ancora XP senza antivirus convinte che le loro buone abitudini di navigazione le salvaguardino dalle infezioni. Non si rendono conto che basta visitare un sito insospettabile che nella home ha un circuito banner malevolo per trovarsi con la postazione compromessa.
ci sono evidenze che il malware sia effettivamente in grado di diffondersi in ambienti di rete bypassando policies di accesso? Se effettivamente utilizza una vulnerabilità ci sta, ma non trovo informazioni dettagliate e precise sulla cosa. Mi chiedo poi se il malware riesce a cancellare le copie shadow dai sistemi in cui l'utente che lo lancia ha diritti limitati. Di solito recupero sempre tutto se si tratta di utente comuni.
Cosa diversa per le share, se i permessi NTFS sono "controllo completo" allora spariscono anche le versioni precedenti, mentre se arrivano fino a "Modifica", si può recuperare tutto.
Come sempre, se si adottano le precauzioni dovute si riesce ad arrivare dove non possono antivirus e la sprovvedutezza degli utenti aziendali. Ritengo che la colpa maggiore (se non tutta) la abbiano i responsabili IT, se si può far danno vuol dire che si è concesso troppo agli utenti finali
Wcry infetta anche i computer aggiornati se il virus viene attivato (ad esempio cliccando du un allegato mail) come dimostrato da vary youtuber attivi in ambito sicurezza informatica. Anche la solita filastrocca di aggiornare le definizioni antivirus non ha alcun senso in quanto i danni sono stati fatti ben prima che gli antivirus avessero identificato il virus, ossia quando era un cosiddetto "0day". L'unico consiglio sensato é quello di utilizzare soluzioni di tipo "defaul deny" o virtualizzazione.
secondo un articolo pubblicato su ArsTechnica, l'infezione non richiede intervento umano:
"The Wcry developers have combined the Eternalblue exploit with a self-replicating payload that allows the ransomware to spread virally from vulnerable machine to vulnerable machine, without requiring operators to open e-mails, click on links, or take any other sort of action."
Non è ben chiaro se si riferisca alla post infezione del singolo PC o della tecnica di propagazione iniziale magari a mezzo pagina web infetta.
Al3x ha scritto: ↑dom mag 14, 2017 1:46 am
Volevo fare dei test su una macchina virtuale
Anche io, ma non ho trovato un link buono, tutti gli exploit ancora funzionanti mi rimandano a eseguibili di altra razza.
hai un pm se vuoi darci un occhio
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Al3x ha scritto: ↑dom mag 14, 2017 7:46 am
secondo un articolo pubblicato su ArsTechnica, l'infezione non richiede intervento umano:
Da quanto ho afferrato io, l'apertura da parte dell'utente di allegato/file infetto causa l'infezione sulla macchina corrente (parte ransomware), indipendentemente dalla patch, e solo un antivirus aggiornato è in grado di impedire questo passo.
Se poi la macchina corrente e altre macchine presenti nella rete locale non sono aggiornate con la patch in questione, hanno SMBv1 attivo e non ci sono altre regole (es. firewall) per impedire l'uso del protocollo vulnerabile, allora il malware si può anche propagare e, a quel punto, l'intervento dell'utente non è più richiesto.
Il primo passo sembra però essere guidato dall'azione dell'utente. Ovviamente chi distribuisce il malware potrebbe usare qualche altra vulnerabilità, come Eternalblue, per far partire la catena senza l'intervento dell'utente.
Ulteriori informazioni: https://blogs.technet.microsoft.com/mmp ... e-systems/ (non l'ho letto nel dettaglio, ma ho trovato questa citazione:
"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:
- Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
- Infection through SMB exploit when an unpatched computer can be addressed in other infected machines")
la pagina Microsoft da dove scaricare le patch riportata nell'articolo, ha un errore nel link che riguarda XP in italiano 32bit, in verità fa scaricare la versione embedded.
Questo è il link diretto per Windows Xp x86 ITA http://download.windowsupdate.com/d/csa ... 0a2852.exe
"Tuttavia l'allerta rimane alta. Anche perché è online una nuova versione di WannaCry. Quest'ultima variante, che sembra stia circolando in Rete già da ieri, è più pericolosa della precedente dato che stavolta il software malevolo non ha al proprio interno il cosiddetto "kill switch". Si tratta di una sorta di pulsante per l'autodistruzione inserito nel primo WannaCry. Un sistema che, probabilmente, i pirati informatici avevano previsto per avere l'opportunità di bloccare il software malevolo all'occorrenza."
Vediamo se ho capito bene...
Il virus WannaCry, per diffondersi, sfrutta una falla di Windows che il gruppo hacker Shadow Brokerha reso di dominio pubblico in data 14 aprile 2017, pubblicando gli strumenti di hackeraggio sottratti alla NSA.
Per "fortuna" Microsoft aveva già pubblicato gli aggiornamenti per tamponare proprio quella falla appena un mese prima nel "patch tuesday" del 14 marzo 2017.
E dev'essere stata proprio una grandissimissima fortuna se si considera che quella falla è sempre stata presente in tutte le versioni di Windows, da XP fino a 10, sopravvivendo incredibilmente a tutte le recompilazioni del kernel degli ultimi sedici anni.
E' solo un'impressione mia o ci stanno allegramente prendendo per i fondelli?
E, come se non bastasse, danno la colpa del disastro a chi non ha applicato puntualmente gli aggiornamenti...
PippoDJ ha scritto: ↑mar mag 16, 2017 4:21 pm
E' solo un'impressione mia o ci stanno allegramente prendendo per i fondelli?
E, come se non bastasse, danno la colpa del disastro a chi non ha applicato puntualmente gli aggiornamenti...
la "falla" c'era e faceva comodo a tutti, divenuta di dominio pubblico sono corsi ai ripari
ma questa è una storia vecchia come il mondo del closed source...
qualche chiacchiera che gira tra tecnici, parla di qualcosa che potrebbe riapparire domani. Avete notizia di questo o sono solo i soliti boatos del cassio?
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.