• IL NOSTRO NETWORK:
  • Indigo Communication
  • Technopolis
  • ictBusiness.it
  • TAB Magazine
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

DearCry, come funziona il ransomware che ha colpito anche l’Italia

L’Italia è tra i Paesi più presi di mira dal gruppo hacker che ha sfruttato le vulnerabilità di Microsoft Exchange Server per spiare e ricattare centinaia di migliaia di aziende. Ecco come difendersi da DearCry.

Pubblicato il 19 marzo 2021 da Valentina Bernocco

Le vulnerabilità di Microsoft Exchange Server hanno causato problemi decine di migliaia di aziende e organizzazioni, anche in Italia, consentendo al gruppo di hacker cinesi Hafnium di penetrare nel database e nelle caselle email delle loro vittime, o per spiare o per ricattarle tramite ransomware. In particolare una delle vulnerabilità, identificata come CVE-2021-26855, è stata sfruttata dagli autori dell’attacco per entrare attraverso la porta 443 negli account di posta elettronica delle organizzazioni bersaglio.

 

All’inizio di marzo, quando la campagna è stata scoperta, le violazioni informatiche erano già in corso da un paio di mesi. Alcune stime parlano di 125mila server colpiti, altre di 80mila, ma in ogni caso la falla del software di Microsoft, poi risolta da alcune patch, ha riempito le cronache delle ultime settimane e si qualifica come una delle operazioni (note) di cyberspionaggio più gravi degli ultimi anni. La stessa Microsoft ha ammesso di aver subìto violazioni e tra le vittime illustri ci sono anche l’Eba, l’Autorità bancaria europea, e Gruppo Tim (la sua divisione Tim Business), mentre dopo alcune illazioni riguardanti i disservizi della sua rete Wind Tre ha negato di essere stata attacca. 

 

Se non altro, in tutta la vicenda dei bug di Exchange Server una parziale buona notizia è che gli hacker non sono riusciti a violare gli account di posta elettronica di Office 365 ma solo quelli appoggiati su risorse on-premise. 

 

Che cos’è DearCry e come fermarlo
Alle notizie di questi giorni si è aggiunta quella dell’indagine avviata dalla Polizia Postale per verificare l’entità dei danni in Italia. È stata scoperta, inoltre, una nuova variante di ransomware che sfrutta le stesse vulnerabilità di Microsoft Exchange già utilizzate da Hafnium: DearCry, questo il nome, crea copie criptate dei file e cancella gli originali. Come spiegato da Sophos, la crittografia di DearCry è basata su un sistema di crittografia a chiave pubblica, che è incorporata nel binario del ransomware: quest’ultimo, dunque, non ha bisogno di contattare il server di comando e controllo dell’autore dell’attacco per crittografare i file. Di conseguenza i server Exchange impostati per consentire solo l’accesso a Internet per i servizi Exchange saranno comunque criptati.

 

“Dal punto di vista del comportamento di encryption, DearCry è quello che i nostri esperti di ransomware chiamano un ransomware ‘Copy’”, spiega Mark Loman, director, engineering technology office di Sophos. “Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici, permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati”.

Tali caratteristiche distinguono DearCry da alcuni popolari ransomware di tipo “In-Place”, come Ryuk, REvil, BitPaymer, Maze e Clop, i quali memorizzano i file crittografati su settori logicamente uguali, rendendo impossibile il recupero tramite strumenti di undelete. Al contrario il famigerato Wannacry è stato un ransomware “Copy”, e l’assonanza del nome DearCry non è dunque un caso. 

Per evitare di essere colpiti da DearCry è dunque essenziale installare le patch di Exchange Server rilasciate da Microsoft. Sui server più datati, tuttavia, potrebbe non essere possibile installare questi aggiornamenti di sicurezza (Palo Alto Networks stima che siano circa 80mila i sistemi connessi a Internet che si ritrovano in queste condizioni). 

Nel caso in cui non fosse possibile installare le patch, dunque, Sophos suggerisce di disconnettere il server da Internet o di farlo monitorare attentamente da esperti di threat response. Inoltre non bisogna trascurare di eseguire una scansione delle macchine in uso, così da escludere l’eventuale presenza di infezioni passate inosservate. Infine, per scongiurare futuri incidenti di data loss, un’altra buona idea per le aziende potrebbe essere quella di creare dei backup offline dei propri sistemi. 

I consigli di Sophos ricalcano in parte quelli di altre società di cybersicurezza. “Il suggerimento per questo particolare attacco”, spiega Jonathan Tanner, senior security researcher di Barracuda, “è di installare le patch appena possibile ed effettuare una scansione per cercare indicatori della vulnerabilità che è stata sfruttata. Il passo successivo consiste in un approccio di reazione più dettagliato all’incidente”,“Per chi avesse scoperto di essere stato vittima di questo attacco, una buona preparazione ad affrontare le compromissioni è indispensabile per far fronte con successo all’intrusione. Chi dispone di una soluzione per l'individuazione delle violazioni e piani di reazione ha già compiuto parte del lavoro di protezione della rete”.

CRITTOGRAFIA

  • Ransomware, in Italia quattro persone su dieci pagano il riscatto
  • DearCry, come funziona il ransomware che ha colpito anche l’Italia
  • Check Point vuole proteggere applicazioni cloud-native e Api
  • Il furto d'identità rischia di diventare una piaga strutturale
  • Il ransomware Fonix ha colpito? Un decryptor ci fa recuperare i dati

NEWS

  • Si rivede il segno più nei conti economici di Ibm
  • Con Cloud Pc si potrà avere Windows sul Pc senza installarlo
  • Vmware ha una soluzione per lo smart working sicuro
  • Fingerprinting, una nuova minaccia alla privacy sul Web
  • Con Motorola Evolve per comunicare basta premere un tasto
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Per Huawei, cybersicurezza e trasparenza trovano casa a Roma
Cloud e on-premise si parlano con Google Network Connectivity Center
I misteri dell’HomePod, fra sensori “addormentati” e futuri schermi
Aws passa la palla: Adam Selipsky sarà il nuovo Ceo
Ransomware, in Italia quattro persone su dieci pagano il riscatto
Il digitale è fonte di resilienza e motore della ripresa
VMware punta a semplificare il cloud journey
I partner Nutanix guidano le aziende verso l’hybrid cloud
Più spazio ai partner IBM in un ecosistema fatto di competenze
La sicurezza alla base della continuità di business per Pregis
Partner Oracle ingaggiati nella cloud migration dei processi core
Cyberspionaggio cinese via Facebook, scoperta campagna mirata
Partner SentinelOne sfoderano l’AI per affrontare i rischi del cloud
Sistemi iperconvergenti in crescita del 7,4%, guida Dell
Privacy a confronto: Android condivide 20 volte più dati di iOS
Sotto attacco iPhone, iPad ed Apple Watch, serve l’aggiornamento
Intelligenza artificiale in Italia: interesse alto, strategie poche
Finix estende l’offerta dei partner Fujitsu ad AI, IoT e Security
Huawei, fatturato a +3,8%, “abbiamo fatto fronte alle avversità”
Per trovare nuovi (grandi) clienti, Sap si affida a Fulvio Bergesio
L'Europa punta a creare un portale unico per gli Open Data
Con Cloud Pc si potrà avere Windows sul Pc senza installarlo
Vmware ha una soluzione per lo smart working sicuro
Fingerprinting, una nuova minaccia alla privacy sul Web
Con Motorola Evolve per comunicare basta premere un tasto
Microsoft, Dhl e Google sono le prime vittime del phishing
Ibm accelera su cloud e Red Hat, inizio d’anno positivo
Amazon lancia tour virtuali in diretta dei centri di distribuzione
Accordo Google-Siemens per cloud e AI dedicati all’industria
Incidente mortale con Tesla self-driving, l’auto senza guida è sicura?
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Partners
Indigo Communication
Technopolis
TAB Magazine
ictbusiness logo
© 2021 Indigo Communication - P.iva 04275830968