El pasado 27 de junio, una campaña de Ransomware afectó a organizaciones en varios países: Rusia, Ucrania, India, España, Francia, Reino Unido y otros países de Europa.

Esta nueva variante del Petya requiere “$300” bitcoins para el rescate de la información.

El vector del ataque mayoritario se centra en campañas de Phishing de correos electrónicos con documentos Word y Excel adjuntos. La explotación de la vulnerabilidad CVE-2017-0199 se utiliza después para instalar archivos maliciosos con macros incrustadas.

El malware [programa malicioso] es un archivo “.dll” que se ejecuta a través de rundll32.exe. Este malware tiene capacidad para infectar sistemas expuestos públicamente, así como sistemas internos, explotando las vulnerabilidades CVE-2017-0143 y CVE-2017-0144 (ETERNALBLUE).

Tras su ejecución, Petya utiliza los exploits ETERNALBLUE, así como el Windows management Instrumentation comand-line (WMIC) y el PsExec para moverse lateralmente y afectar a los sistemas internos.

Esta variante parece funcionar de manera diferente de otros Ransomwares, puesto que no cifra los archivos de los sistemas afectados, sino el Master Boot Record (MBR), restringiendo así el acceso al sistema y a los archivos.

El malware reemplaza el MBR con su propio código, impidiendo que el ordenador se inicie, presentando un mensaje en la pantalla para el rescate de la información.

Aparentemente, la fase de cifrado sólo empieza tras el reboot [reinicio] del ordenador.

Recomendaciones:

• Deshabilite el WMIC y el protocolo SMBv1
• Aplique los parches de seguridad: MS17-010 y CVE-2017-0199
• Filtre las puertas 445 y 139 para todas las redes no confiables
• Actualice el antivirus y aplique firmas en sus sistemas de protección de la red.

Enlaces que se pueden consultar con información relevante sobre la reciente ocurrencia:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.blocktrail.com/BTC/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX/transactions

https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

https://virustotal.com/fr/ip-address/185.165.29.78/information/

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

[HOT] New Petya (MBR #ransomware) "loaded" with #ETERNALBLUE SMBv1 worm functionality (see ARP scan indicator): https://t.co/np2xM4309b pic.twitter.com/owd6zb7fhN

— Hybrid Analysis (@HybridAnalysis) June 27, 2017

https://www.infosecurity-magazine.com/news/ukraine-businesses-petya-ransomware/

http://thehackernews.com/2017/06/petya-ransomware-attack.html

If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6

— Hacker Fantastic (@hackerfantastic) June 27, 2017

En caso de poseer datos cifrados, visite regularmente el sitio web www.nomoreransom.org, para consultar las últimas herramientas y soluciones disponibles para la recuperación de los datos.

Paulo Rosa
Security & Public Safety
Business Unit Manager