Attacco hacker rubati alle banche 45 mln in 10 h

[sottovento]

Ma come si fa a prendersi un virus del genere? Bah

Da ciò che ho capito non è un malware che becchi a casaccio navigando. Per beccarselo si deve comunque aprire un file infetto in allegato o scaricarlo da qualche parte, in altre parole agisce come un Trojan quindi ipotizzo che siano tutti file "eseguibili" ergo ci vuole comunque un input da parte dell'utente nello scaricarlo ed aprirlo. A quel punto il virus entra in azione, si aggiunge al registro e persino alle chiavette usb e cripta ogni cosa oltre a cancellare le opzioni di ripristino quindi sei fottuto, o paghi o formatti ma se hai materiale prezioso ad esempio cose di lavoro e non hai backup è un grosso guaio. Il problema è che questi virus si aggiornano alla velocità del vento e dietro ci sono grandi menti per cui trovata la soluzione poi ne arriva un altro e la storia si ripete.

[zakmck]

Ma come si fa a prendersi un virus del genere? Bah

Da ciò che ho capito non è un malware che becchi a casaccio navigando. Per beccarselo si deve comunque aprire un file infetto in allegato o scaricarlo da qualche parte, in altre parole agisce come un Trojan quindi ipotizzo che siano tutti file "eseguibili" ergo ci vuole comunque un input da parte dell'utente nello scaricarlo ed aprirlo. A quel punto il virus entra in azione, si aggiunge al registro e persino alle chiavette usb e cripta ogni cosa oltre a cancellare le opzioni di ripristino quindi sei fottuto, o paghi o formatti ma se hai materiale prezioso ad esempio cose di lavoro e non hai backup è un grosso guaio. Il problema è che questi virus si aggiornano alla velocità del vento e dietro ci sono grandi menti per cui trovata la soluzione poi ne arriva un altro e la storia si ripete.

Questo ransomware colpisce esclusivamente i PC con Microsoft Windows. Generalmente si prende tramite qualche allegato della posta o scaricando dei file da un qualche sito infetto. Purtroppo questo non e' l'unico modo ma si puo' anche venir infettati dai computer limitrofi in quanto questa variante del ransomware puo' sfruttare un baco di Windows (MS17-010) per diffondersi senza la necessita' di intervento umano.

Una volta preso dite pure addio ai vostri dati perche' anche pagando non si riesce ad ottenere la chiave di decriptazione.

[Wolframio]

Per beccarselo si deve comunque aprire un file infetto in allegato o scaricarlo da qualche parte, in altre parole agisce come un Trojan quindi ipotizzo che siano tutti file "eseguibili" ergo ci vuole comunque un input da parte dell'utente nello scaricarlo ed aprirlo.

Non credo che quel Worm entri nei sitemi perchè qualcuno ha aperto una mail o scaricato un file infetto.
Sono troppi i server colpiti.
WannaCry è basato sui due exploit EternalBlue e DoublePulsar sottratti alla NSA.
Inoltre considerando che agenzie come la NSA quando vogliono intrufolarsi nei Pc altrui, non mandano email infette alle vittime, ma ci arrivano sfruttando falle di sistema o backdoor già insite nei sistemi operativi.

Se WannaCry sfrutta la falla del server SMB di windows questo tipo di malware si prende anche senza intervento maldestro degli utenti.
Di solito sono dei server che fanno la scansione della rete internet per individuare computer con una falla di sistema, una volta individuata la sfruttano e ci scaricano gli eseguibili e script per attivarli automaticamente.

[zakmck]

Non credo che quel Worm entri nei sitemi perchè qualcuno ha aperto una mail o scaricato un file infetto.

Questo e' uno dei metodi di diffusione (anche se non il solo). (https://www.symantec.com/connect/blogs/ ... ransomware)

Sono troppi i server colpiti.

Appunto perche' e' anche in grado di sfruttare una falla di SMB.

WannaCry è basato sui due exploit EternalBlue e DoublePulsar sottratti alla NSA.
Inoltre considerando che agenzie come la NSA quando vogliono intrufolarsi nei Pc altrui, non mandano email infette alle vittime, ma ci arrivano sfruttando falle di sistema o backdoor già insite nei sistemi operativi.

E quindi come ci arrivano a queste falle dei sistemi operativi?

Se WannaCry sfrutta la falla del server SMB di windows questo tipo di malware si prende anche senza intervento maldestro degli utenti. Di solito sono dei server che fanno la scansione della rete internet per individuare computer con una falla di sistema, una volta individuata la sfruttano e ci scaricano gli eseguibili e script per attivarli automaticamente.

Ma questo solo se si espongono le porte SMB all'accesso internet. Questo accade assai raramente (=suicidio), mentre e' una pratica comune nelle reti aziendali. Quindi, il primo furbo si becca l'infezione con mail o altro e poi si infettano tutti i PC della rete aziendale via SMB.

Copione gia' visto n volte (con CryptoLocker e varianti ne ho seguiti personalmente almeno una decina di casi risolti poi ricorrendo ai backup).

[Wolframio]

E quindi come ci arrivano a queste falle dei sistemi operativi?

Tramite uno scanner di rete creato ad arte, istruito per la scansione di un determinato range di Ip, scova tutti i computer su internet con determinate porte aperte, invia delle richeste per individuare una falla specifica ed agisce di conseguenza oppure restituisce all'hacker la lista degli Ip vulnerabili da "lavorare" in seguito.
Il principio è simile ai molteplici tools per penetration test.

[zakmck]

E quindi come ci arrivano a queste falle dei sistemi operativi?

Tramite uno scanner di rete creato ad arte, istruito per la scansione di un determinato range di Ip, scova tutti i computer su internet con determinate porte aperte, invia delle richeste per individuare una falla specifica ed agisce di conseguenza oppure restituisce all'hacker la lista degli Ip vulnerabili da "lavorare" in seguito.
Il principio è simile ai molteplici tools per penetration test.

Quindi, tornando alla domanda di MaxPower, "Ma come si fa a prendersi un virus del genere? Bah", se non si hanno porte esposte su internet o se anche si naviga dietro una NAT non ci sono pericoli di intrusione, e non c'e' NSA che tenga (che infatti usa tutt'altre modalita').

Quindi, nello specifico caso, o lo becchi aprendo un allegato eseguibile (magari camuffato da documento) oppure devi avere un collega sulla tua rete locale meno accorto del necessario.

[sottovento]

Se vi interessa qui c'è un articolo interessante:
http://attivissimo.blogspot.it/

[Wolframio]

E quindi come ci arrivano a queste falle dei sistemi operativi?

Tramite uno scanner di rete creato ad arte, istruito per la scansione di un determinato range di Ip, scova tutti i computer su internet con determinate porte aperte, invia delle richeste per individuare una falla specifica ed agisce di conseguenza oppure restituisce all'hacker la lista degli Ip vulnerabili da "lavorare" in seguito.
Il principio è simile ai molteplici tools per penetration test.

Quindi, tornando alla domanda di MaxPower, "Ma come si fa a prendersi un virus del genere? Bah", se non si hanno porte esposte su internet o se anche si naviga dietro una NAT non ci sono pericoli di intrusione, e non c'e' NSA che tenga (che infatti usa tutt'altre modalita').

Quindi, nello specifico caso, o lo becchi aprendo un allegato eseguibile (magari camuffato da documento) oppure devi avere un collega sulla tua rete locale meno accorto del necessario.

Riporto e traduco dal link qui sotto:

È importante notare che questa non è una minaccia che esegue semplicemente la scansione di reti interne per identificare dove diffondersi, ma è anche in grado di diffondersi sulla base delle vulnerabilità che trova in altri hosts esterni che si trovano in Internet.

Quindi questo malware scansiona la rete internet cercando macchine già compromesse, non essenzialmente da operatori che hanno aperto allegati o navigato su siti pericolosi, ma compromessi da falle di sistema e backdoor già esistenti.
Per esempio tra i metodi di intrusione della NSA c'e anche quello di aprire i pacchi di Pc ordinati online, installare la backdoor e richiudere il pacco pronto per la spedizione.

The malware then has the capability to scan heavily over TCP port 445 (Server Message Block/SMB), spreading similar to a worm, compromising hosts, encrypting files stored on them then demanding a ransom payment in the form of Bitcoin. It is important to note that this is not a threat that simply scans internal ranges to identify where to spread, it is also capable of spreading based on vulnerabilities it finds in other externally facing hosts across the internet.

Additionally, Talos has observed WannaCry samples making use of DOUBLEPULSAR which is a persistent backdoor that is generally used to access and execute code on previously compromised systems. This allows for the installation and activation of additional software, such as malware. This backdoor is typically installed following successful exploitation of SMB vulnerabilities addressed as part of Microsoft Security Bulletin MS17-010. This backdoor is associated with an offensive exploitation framework that was released as part of the Shadow Brokers cache that was recently released to the public. Since its release it has been widely analyzed and studied by the security industry as well as on various underground hacking forums.
http://blog.talosintelligence.com/2017/05/wannacry.html

e non c'e' NSA che tenga (che infatti usa tutt'altre modalita').

C'è anche la Tao (Office of the Tailored Access Operation) che è peggio della NSA

[Wolframio]

Attacco informatico globale: ecco come difendersi




La Polizia postale è in allerta per l’attacco hacker a livello globale compiuto attraverso un ransomware noto coi nomi WCry, WannaCry e WanaCrypt0r.

Il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche(CNAIPIC), sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure idonee a garantire la massima sicurezza delle infrastrutture informatiche del Paese.

Dai primi accertamenti effettuati, sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì, non si hanno al momento evidenze di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese.

Al riguardo è bene che gli utenti della Rete facciano attenzione alle seguenti procedure rilevate dagli specialisti della Polizia postale:

1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).

2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.

3) Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.

4) La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.

5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

6) Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.

Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0, ovvero al riavvio delle macchine per la giornata di domani, inizio della settimana lavorativa.

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry, si consiglia quanto prima di:

Lato client
- eseguirel’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
- aggiornare software antivirus:
- disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message Block (SMB) e Remote Desktop Protocol (RDP);
- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;
- il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l'avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.

Lato sicurezza perimetrale
- eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento delle istruzioni (IPS/IDS);
- dove possibile e ritenuto opportuno bloccare tutto il traffico in entrata su protocolli: Server Message Block (SMB) e Remote Desktop Protocol (RDP).



http://www.poliziadistato.it/articolo/3 ... 518737032/

Non è forse come dicevo io con altre parole?.


Eppure io ho un forte sospetto:
Considerando la simultaneità, la velocità di propagazione + la categoria privilegiata dei bersagli colpiti:
Non credo all'azione di criminali dediti all'estorsione e nemmeno alla storia per come ci viene raccontata del 22enne che con 10 dollari ha limitato i danni (guardacaso nella maggior parte a favore della rete americana)
E non credo nemmeno alla storiella che i due exploit EternalBlue e DoublePulsar siano stati rubati alla NSA.

Secondo me questo attacco informatico è un beta test di un futuro sistema militare previsto per destabilizzare e creare il caos mondiale.

[zakmck]

1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione)

- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;

Queste due indicazioni mi sembrano in contrasto tra loro.

Comunque se non ci sono veicoli via allegato le probabilita' di infezione sono infinitesime. Mi domando comunque chi sono quelle aquile che espongono SMB e RDP su rete pubblica.

[sottovento]

Il termine "rete" è un po generico, a quale rete ci stiamo riferendo? Rete internet o reti locali? se si parla di reti locali dove un pc infetto infetta gli altri allora il pc infettato per primo come ha preso il virus se non tramite un allegato o un file comunque scaricato volontariamente dall'utente? Se per beccarsi questo virus bastasse solo navigare nel web allora i pc infetti sarebbero milioni considerando quanta gente ha sistemi operativi vecchi o non aggiornati. Deduco quindi che al di la della diffusione intranet sia comunque necessaria un'azione da parte dell'utente nell'aprire allegati o scaricare files infetti.

[Wolframio]

Sottovento,
il comunicato della Polizia di stato è chiarissimo, non lascia dubbi di interpretazione sulla terminologia usata.

1) le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).
2) Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.
5) La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltreeffettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.

Inoltre in precedenza avevo pubbicato questo:

È importante notare che questa non è una minaccia che esegue semplicemente la scansione di reti interne per identificare dove diffondersi, ma è anche in grado di diffondersi sulla base delle vulnerabilità che trova in altri [b]hosts esterni che si trovano in Internet.[/b]
http://blog.talosintelligence.com/2017/05/wannacry.html

Quando si parla di rete ci si riferisce sempre alla rete pubblica Internet
Altrimenti si specifica di che rete si parla:

Local Area Network (infatti la Polizia di Stato ha scritto LAN)
Intranet
Extranet
Internet
Host

Bisogna capire che questo ramsonware non è il tipico worm che si propaga per posta elettronica o tramite phishing.
In questo caso ci troviamo davanti a degli exploit di alto livello che provengono dalla NSA.

Non è un luogocomune quando si dice che il computer piu sicuro e quello spento.

Riporto dalle raccomandazioni della Polizia di Stato

- il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati provenienti da email sospette;

Anche

Zack, non è una contraddizione

[mauro]

cari amici,
metto questo link alfine che i più esperti del forum aiutino a capirci...

https://www.disclosurenews.it/wannacry-ransomware-2-0/

ciao
mauro

[Wolframio]

Il link non dice niente di nuovo.
Dico solo che questo malware se è stato messo in rete, cosa che dubito, per estorcere denaro, i malviventi non hanno previsto l'enorme inutile casino che han fatto. Inutile perchè di quattrini estorti non ne vedranno il becco.
Questi ipotetici sprovveduti se volevano guadagnare soldi con un ramsonware era meglio se utilizzavano i metodi piu classici e tranquilli quali il phishing e le email con allegati infetti.
Non tirarsi addosso la polizia di tutto il mondo.

Sono sempre dell'avviso che si tratti di una qualche operazione di tipo governativa o militare.

[mik.300]

x scansionare la rete
gli utenti di linux hanno nmap.

ai file criptati di windows,
dopo aver smontato l'hd
e connesso questo con altro pc via usb,
non si può accedere con altro sistema operativo?
o sono criptati in ogni caso?

e chi ha il dualboot (win+linux)?
magari i file sono criptati su win
e leggibili da linux/ubuntu..

mi chiedevo, magari non è possibile..
magari si..
cioè la partizione di win è infetta,
quella di linux no..
da linux si può accedere liberamente ai file di win..
-> la cifratura non funziona con linux.

sul fatto che l'nsa si fa soffiare i software
c credo zero..