Articoli

Fine supporto a Windows 7, rischio ransomware per i PC aziendali: i consigli per metterli in sicurezza

Sono ancora centinaia di milioni i PC con Windows 7 che, dallo scorso 14 gennaio, non potranno più essere aggiornati in quanto Microsoft ha interrotto il supporto ufficiale al suo sistema operativo. Ecco come mettere in sicurezza (almeno momentaneamente) i sistemi aziendali anche senza cambiare l’hardware o aggiornarli a Windows 10

Dallo scorso 14 gennaio 2020 Microsoft ha posto fine al supporto tecnico a Windows 7, una delle versioni del sistema operativo più diffuse e ancora molto utilizzata soprattutto in ambito aziendale e nelle grandi organizzazioni pubbliche e private.

Questo significa che non saranno più rilasciati aggiornamenti sia per i sistemi client Windows 7 sia per le versioni Windows Server 2008 e Windows Server 2008 R2, che di conseguenza risulteranno maggiormente vulnerabili ad attacchi informatici, soprattutto quelli condotti mediante ransomware.

Cosa succede ora?

La fine del supporto tecnico conclude così il ciclo di vita di Windows 7 che, come già anticipato da Microsoft al momento del rilascio il 22 ottobre 2009, era stato fissato a 10 anni (analogamente a tutti gli altri sistemi operativi).

È bene precisare, a scanso di equivoci, che Windows 7 non smetterà di funzionare, né tantomeno le sue funzionalità verranno limitate: semmai potrebbe venir meno la compatibilità di molte applicazioni di uso comune in quanto le software house potrebbero, a loro volta, interrompere lo sviluppo di driver e librerie specifiche per Windows 7.

Google, ad esempio, fa sapere che per il momento continuerà a supportare Chrome su Windows 7 per almeno altri 18 mesi, fino al 15 luglio 2021, dopo i quali smetterà di testare il suo browser perché diventerebbe troppo costoso tenendo conto che servirà a sempre meno utenti.

Anche per questo, le macchine su cui è ancora installata questa versione ormai obsoleta del sistema operativo potrebbero diventare facili obiettivi per i criminal hacker.

La buona notizia è che l’antivirus integrato in Windows 7, Microsoft Security Essentials, continuerà per il momento a ricevere gli aggiornamenti con le nuove definizioni antivirali anche se il motore per la scansione di nuovi virus non verrà più migliorato e potenziato.

Le soluzioni

Alla luce di quanto detto finora, qualora fossimo di fatto obbligati o decidessimo di continuare ad utilizzare Windows 7 è dunque opportuno prendere le dovute precauzioni mettendo in pratica alcune soluzioni che possono comunque tornare utili anche a tutti gli utenti delle altre versioni del sistema operativo.

Il primo consiglio è quello di sostituire al più presto i dispositivi non supportati, a spostare i dati sensibili su un dispositivo supportato e a non utilizzare le vecchie macchine con Windows 7 per attività online come l’accesso a conti bancari o ad altri account sensibili.

Per rimanere alla larga da malware e qualsiasi altra minaccia è anche altamente consigliato stare alla larga da siti Web non attendibili o insicuri come quelli che distribuiscono materiale gratuito, pirata o “per adulti”. Senza dire che siti Web attendibili (come quello della nostra banca) potrebbero da un momento all’altro impedirci l’accesso all’home banking perché troppo rischioso se effettuato utilizzando Windows 7.

L’utilizzo di un buon software antivirus o di un firewall è una valida soluzione per ridurre al minimo il rischio di un attacco informatico, ma come già detto per i browser e le altre applicazioni, anche i produttori di questi software potrebbero decidere di interromperne lo sviluppo lasciandoci di fatto con il fianco scoperto alle nuove minacce.

Qualora decidessimo di continuare ad utilizzare Windows 7, dovremmo alzare il nostro livello di attenzione ogniqualvolta riceviamo un’e-mail sospetta, ricordandoci di non cliccare mai sugli allegati ricevuti da utenti sconosciuti per evitare di rimanere vittime del phishing.

La miglior difesa contro un attacco ransomware, invece, è avere un backup di tutti i file più importanti conservato su dischi rigidi esterni o su un qualche account sul cloud. Dobbiamo quindi ricordarci di effettuare backup giornalieri su dispositivi di memorizzazione che non siano altrimenti collegati al nostro PC, così come potrebbe essere una buona idea tenere anche sempre a portata di mano un’immagine del disco corrente. Entrambe le soluzioni potrebbero risparmiarci il pagamento del riscatto (che tra l’altro è un’azione da mettere in pratica solo in casi estremi) per rientrare in possesso dei nostri documenti: basta infatti formattare l’unità disco infetta e ripristinare il sistema dalla copia di backup.

Aggiornamento da Windows 7 a Windows 10

C’è da dire, comunque, che l’utilizzo di una copia di Windows 7 non più aggiornata non può rappresentare una valida soluzione a lungo termine. E soprattutto è una pessima idea se messa in pratica in ambito aziendale e produttivo.

Il modo più semplice per mettere in sicurezza il patrimonio informativo aziendale è chiaramente quello di sostituire tutto il parco macchine su cui è installato Windows 7. In questo caso, però, soprattutto nelle PMI, potrebbe sorgere il problema di reperire i fondi necessari per procedere all’acquisto dei nuovi PC o dei nuovi server.

La soluzione alternativa, qualora la configurazione hardware delle macchine fosse sufficiente a “far girare” senza intoppi un nuovo sistema operativo, potrebbe essere quella di effettuare l’upgrade da Windows 7 a Windows 10. In questo caso, ovviamente, occorre avere una licenza valida per installare il nuovo sistema operativo (è possibile acquistare una copia sullo store Microsoft).

Per verificare la fattibilità di un aggiornamento, è utile consultare la pagina Microsoft in cui sono elencate le specifiche e i requisiti di sistema dei computer Windows 10. Qualora fosse possibile procedere con l’upgrade, ricordiamoci di effettuare prima un backup di tutti i nostri dati più importanti: la procedura di aggiornamento a Windows 10 è “conservativa”, ma in certi casi la prudenza non è mai troppa.

Così come è importante verificare anche la compatibilità delle applicazioni che vengono utilizzate quotidianamente per lavoro: il rischio di ritrovarci, ad esempio, con il gestionale inutilizzabile non è poi così raro. Meglio effettuare prima una semplice telefonata allo sviluppatore per chiedere la disponibilità di una eventuale versione di aggiornamento.

Effettuate tutte le verifiche del caso e completato il backup dei dati, possiamo finalmente procedere con l’aggiornamento a Windows 10. In questa procedura ci torna utile l’apposito strumento di installazione del sistema operativo scaricabile gratuitamente dal sito Microsoft. Ecco come utilizzarlo:

1. colleghiamoci alla pagina Web Scarica Windows 10 e clicchiamo sul pulsante Scarica ora lo strumento;
2. selezioniamo Esegui e verifichiamo di utilizzare lo strumento con permessi di amministratore;
3. nella pagina Condizioni di licenza selezioniamo Accetta per accettare le condizioni d’uso dello strumento;
4. in Scegliere l’operazione da effettuare selezioniamo Aggiorna il PC ora e clicchiamo su Avanti;
5. dopo il download e l’installazione, questo strumento mostrerà a video i passaggi necessari per configurare Windows 10 sul PC. È importante sottolineare che sono disponibili tutte le edizioni di Windows 10 ad eccezione della versione Enterprise;
6. una volta che Windows 10 è pronto per l’installazione, verranno visualizzati un riepilogo delle opzioni scelte e un elenco di tutto ciò che sarà mantenuto con l’aggiornamento. Selezioniamo Cambia elementi da mantenere per scegliere tra le opzioni Mantieni i file e le app personali, Mantieni solo i file personali e Niente durante l’aggiornamento;
7. salviamo i documenti su cui stavamo lavorando, chiudi tutte le finestre delle applicazioni aperte e clicchiamo su Installa;
8. la procedura di installazione di Windows 10 potrebbe richiedere qualche minuto. Durante il processo il PC verrà riavviato più volte, ma non bisogna mai spegnerlo.

Al termine dell’installazione, per verificare che tutto sia andato per il verso giusto, possiamo verificare l’effettiva attivazione della licenza di Windows 10 accedendo al menu Impostazioni/Aggiornamento e sicurezza/Attivazione.

 

Fonte: CyberSecurity360

MegaCortex, scoperta una nuova variante del ransomware che colpisce aziende e PA

Il ransomware MegaCortex, utilizzato dai criminal hacker per compiere attacchi mirati ai danni di organizzazioni pubbliche e private in tutto il mondo, è in grado di cambiare la password di accesso ai dispositivi compromessi e minaccia le vittime di diffonderne i file se non pagano il riscatto. Ecco tutti i dettagli e i consigli per prevenire un attacco

È stato individuato e analizzato il campione di una nuova variante del ransomware MegaCortex già salito agli onori della cronaca la scorsa estate per aver colpito numerose organizzazioni in tutto il mondo, Italia compresa, con attacchi mirati.

La prima variante utilizzava oltre ai classici strumenti malevoli per la distribuzione automatica del malware anche alcune componenti manuali molto simili a quelle già sfruttate dai cyber criminali in altrettanto pericolosi ransomware e che consentivano di muoversi “lateralmente” in modo da infettare il maggior numero di sistemi possibili collegati in LAN alla macchina già colpita.

I dettagli tecnici della nuova variante di MegaCortex

Secondo gli analisti, questa particolare caratteristica di attacco mista classifica MegaCortex come un nuovo ransomware “aziendale”, cioè specializzato nel colpire i sistemi e le reti di grandi organizzazioni con attacchi mirati che hanno fruttato enormi somme di denaro in riscatti pagati dalle vittime delle infezioni.

La nuova variante di MegaCortex, identificata dal MalwareHunter Team, mantiene le stesse caratteristiche tecniche analizzate finora; è inoltre in grado di modificare la password di accesso al dispositivo target in modo da bloccare qualsiasi tentativo di intervento tecnico sulla macchina. Come se non bastasse, nella nota di riscatto il ransomware minaccia la vittima di pubblicare online tutti i suoi file riservati se non procede con il pagamento del riscatto.

Un’altra differenza rispetto alla precedente variante di MegaCortex è l’estensione .m3g4c0rtx con cui il ransomware cripta i file dell’utente.

Come funziona la nuova variante di MegaCortex

Particolare anche la tecnica di diffusione di MegaCortex: come già successo in passato, infatti, pare che il ransomware sia in grado di sfruttare i malware come Emotet o Qbot come vettori di attacco.

Così facendo, MegaCortex riesce ad ottenere accesso alla rete locale target e a quel punto il payload malevolo consente di installare il ransomware su tutte le macchine della LAN connesse tramite Active Directory o altri sistemi.

A questo punto, il ransomware inietta due librerie di sistema in formato DLL e tre differenti script salvandoli all’interno della directory C:WindowsTemp. Operazione, questa, che di fatto dà il via alla vera e propria procedura di compromissione delle macchine.

Come prima operazione infettiva, vengono eseguiti i tre script utilizzati per eliminare le copie Shadow di Windows in modo da impedire il recupero delle copie di backup dei file criptati, liberare tutto lo spazio su disco e cifrare i file della vittima.

Completata questa prima fase infettiva, MegaCortex crea la nota di riscatto sul desktop della vittima, archiviandola all’interno del file di testo ! -! _ README _! -!. Rtf. Come da prassi, il documento informa dell’avvenuta cifratura dei file e richiede il pagamento del riscatto per poterli “liberare”.

È in questa fase che MegaCortex sfrutta la capacità di modificare la password del dispositivo infetto per impedire alla vittima di effettuare qualsiasi operazione mirata a rimuovere il ransomware o a decriptare i file: qualora l’utente provasse a riavviare il sistema, infatti, si ritroverebbe con il suo account completamente bloccato.

Il trucco per sbloccare i file criptati

Al momento, per fortuna, non sono stati individuati attacchi con il ransomware MegaCortex mirati verso aziende italiane. Ciò non toglie che conviene tenere la guardia sempre alta e i sistemi di controllo sempre aggiornati.

Qualora dovessimo ritrovarci con i file del computer cifrati, possiamo sfruttare l’apposito tool ID Ransomware messo a punto dai ricercatori del MalwareHunter Team per scoprire se la causa dell’infezione è il ransomware MegaCortex.

È sufficiente collegarsi alla home page del progetto e cliccare sul pulsante Sfoglia per caricare la nota di riscatto o un file cifrato: in pochi secondi otterremo la “sentenza” e le eventuali istruzioni per procedere con la bonifica del sistema.

Valgono poi le solite regole di sicurezza informatica utili a prevenire un eventuale attacco ransomware, in attesa che venga rilasciato un decryptor anche per la nuova variante di MegaCortex:

• innanzitutto, è fondamentale tenere sempre aggiornato il sistema operativo e l’antivirus;

• è importante, poi, eseguire periodicamente un backup dei dati archiviati su una macchina differente e non collegata alla stessa LAN;

• non aprire mai gli allegati di e-mail di dubbia provenienza;

• fare attenzione alle e-mail provenienti anche da indirizzi noti;

• abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc.;

• disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;

• disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;

• utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.

È inoltre utile ricordare che non bisogna mai pagare il riscatto, soprattutto nel caso di attacchi mirati ad aziende e pubbliche amministrazioni: oltre a incentivare i criminal hacker a continuare nelle loro malefatte, infatti, si rischia di incorrere in diversi reati penali primo tra tutti quello di favoreggiamento.

 

Fonte: CyberSecurity360