Ransomware

Ransomware
28 Junho, 2017 Gonçalo Alberto

No passado dia 27 de Junho, uma campanha de Ransomware afetou organizações em vários países: Rússia, Ucrânia, Índia, Espanha, França, Reino Unido, entre outros países da Europa.

Esta nova variante do Petya exige “$300” bitcoins para o resgate da informação.

O vetor de ataque maioritário parece ser campanhas de Phishing de e-mails com documentos de Word e Excel em anexo. A exploração da vulnerabilidade CVE-2017-0199 é depois utilizada para instalação de ficheiros maliciosos com macros embutidas.

O malware propriamente dito é um ficheiro “.dll” que é executado através do rundll32.exe. Este malware possui capacidades de infetar sistemas expostos publicamente, bem como sistemas internos, explorando as vulnerabilidades CVE-2017-0143 e CVE-2017-0144 (ETERNALBLUE). Após execução, o Petya utiliza os exploits ETERNALBLUE, assim como o Windows management Instrumentation comand-line ( WMIC) e o PsExec para se movimentar lateralmente e afetar sistemas internos.

Esta variante aparenta funcionar de modo diferente de outros Ransomwares uma vez que não encripta os ficheiros dos sistemas afetados, mas sim, o Master Boot Record (MBR), restringindo o acesso ao sistema e aos ficheiros.

O malware substitui o MBR com o seu próprio código, impedindo o computador de iniciar, apresentando uma mensagem no ecrã para o resgate de informação.

Aparentemente a fase de encriptação apenas se inicia após o reboot do computador.

 

Recomendações:

  • Desabilite o WMIC e o protocolo SMBv1
  • Aplique os Patchesde segurança: MS17-010 e CVE-2017-0199
  • Filtre as portas 445 e 139 para todos as redes não confiáveis
  • Atualize o antivírus e aplique assinaturas nos seus sistemas de proteção da rede.

 

Links que podem ser consultados com informação relevante sobre a recente ocorrência:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.blocktrail.com/BTC/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX/transactions

https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

https://virustotal.com/fr/ip-address/185.165.29.78/information/

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

https://www.infosecurity-magazine.com/news/ukraine-businesses-petya-ransomware/

http://thehackernews.com/2017/06/petya-ransomware-attack.html

No caso de possuir dados encriptados visite o site www.nomoreransom.org com regularidade de forma a consultar as últimas ferramentas e soluções disponíveis para o resgate dos dados.

 

Paulo Rosa
Security & Public Safety
Business Unit Manager