Come Petya ha cambiato per sempre la sicurezza informatica


petya

Un terribile virus, preoccupazioni per i giochi olimpici, la parola “Brexit” sulle labbra della gente … vi suona familiare? Uno scenario che può ricordare da vicino quello di oggi, ma il mondo è stato alle prese con queste e altre sfide già nel 2016. L’emergere del virus Zika stava causando allarme, i ritardi logistici e organizzativi avevano messo in dubbio i Giochi Olimpici di Rio de Janeiro e un referendum molto combattuto nel Regno Unito avviava l’uscita del Paese dall’Unione europea.

In questo periodo turbolento, un nuovo aggressore stava emergendo sotto forma di Petya, un devastante ransomware che avrebbe avuto un impatto su migliaia di aziende in tutto il mondo. Petya utilizzava tecniche di ingegneria sociale e un uso intelligente del phishing per indurre le vittime a scaricare ed eseguire un file. Se le persone erano indotte con l’inganno a cedere i privilegi di amministratore, venivano “ricattate” con la richiesta di un riscatto in Bitcoin per decrittografare il disco rigido reso ormai inaccessibile.

Vediamo nuovi ceppi di malware ogni giorno, ma ci vuole una “tempesta perfetta” di contagiosità, vicinanza degli host e tempo di incubazione per fare sì che un virus si diffonda a livello globale in poco tempo e con conseguenze così pesanti. Petya è stato progettato per fare soldi, ma nemmeno il suo creatore originale avrebbe potuto prevedere l’impatto finale che il virus avrebbe avuto. Cinque anni dopo, le lezioni apprese dalla comparsa di Petya e dalle sue varianti dimostrano come anche un solo malware possa cambiare per sempre la sicurezza informatica.

La prima linea di difesa

adv

Cloud Communication Business

Nel 2017, gli aggressori hanno lanciato un attacco a una società di contabilità ucraina, infettandone i PC con una nuova variante del malware Petya originale; invece di un “paziente zero” ci furono fin da subito migliaia di macchine infette.

ransomware

Soprannominato NotPetya dai ricercatori, questo ransomware aveva addirittura un potenziale dannoso maggiore del Petya originale. Piuttosto che richiedere la diffusione di e-mail di spam o ingegneria umana, come fece Petya, NotPetya è stata in grado di sfruttare una backdoor e ottenere l’accesso amministrativo prima di infettare da remoto tutte le macchine sulla rete. Non è stata inoltre fatta alcuna richiesta in Bitcoin. Se una macchina veniva infettata, era improbabile che potesse essere ripristinata.

 

Un’eredità duratura

Un report USA dell’epoca stimava in 10 miliardi di dollari i danni da NotPetya, descritto come “l’attacco informatico più devastante della storia”. Il settore della sicurezza informatica sapeva di dover affrontare il problema. Ciò che contava nel settore nel 2016 era proteggere il perimetro della rete in via di estinzione, gestendo al contempo una crescita degli utenti che lavoravano al di fuori di una rete tradizionale.

NotPetya ha consolidato la necessità di una formazione sulla consapevolezza della sicurezza incentrata sulla prevenzione e l’individuazione di possibili minacce nelle interazioni quotidiane dei dipendenti con i loro dispositivi. Prima del 2016, la formazione degli utenti si concentrava solo sulla conformità o sulla fornitura di informazioni specializzate ad analisti o amministratori della sicurezza selezionati.

Guardando indietro negli ultimi 5 anni, l’industria si è adattata a un cambio di paradigma nella superficie di attacco. I fornitori hanno introdotto sul mercato strumenti e servizi aggiuntivi per scoprire le minacce più rapidamente, condividono più dati e informazioni e preparano prodotti per ridurre il carico per gli operatori, liberando tempo per le attività essenziali.

Siamo giunti a riconoscere la “resilienza informatica” e la necessità di fornire agli utenti un livello di difesa fondamentale. Combinate con la pratica del recovery e una solida routine di backup, queste sono le migliori pratiche di base che tutte le aziende possono mettere a punto. Le lezioni apprese da Petya/NotPetya sono ancora pertinenti oggi e non saranno le ultime visto che che emergono costantemente nuove minacce. Ma prendendo sul serio la sicurezza e la resilienza informatica, le aziende saranno molto più preparate ad affrontare le sfide future.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!



Source link