No passado dia 27 de Junho, uma campanha de Ransomware afetou organizações em vários países: Rússia, Ucrânia, Índia, Espanha, França, Reino Unido, entre outros países da Europa.
Esta nova variante do Petya exige “$300” bitcoins para o resgate da informação.
O vetor de ataque maioritário parece ser campanhas de Phishing de e-mails com documentos de Word e Excel em anexo. A exploração da vulnerabilidade CVE-2017-0199 é depois utilizada para instalação de ficheiros maliciosos com macros embutidas.
O malware propriamente dito é assim um ficheiro “.dll” que é executado através do rundll32.exe. Este malware possui então capacidades de infetar sistemas expostos publicamente, bem como sistemas internos, explorando as vulnerabilidades CVE-2017-0143 e CVE-2017-0144 (ETERNALBLUE). Após execução, o Petya utiliza os exploits ETERNALBLUE, assim como o Windows management Instrumentation comand-line ( WMIC) e o PsExec para se movimentar lateralmente e afetar sistemas internos.
Esta variante aparenta funcionar de modo diferente de outros Ransomwares uma vez que não encripta os ficheiros dos sistemas afetados, mas sim, o Master Boot Record (MBR), restringindo o acesso ao sistema e aos ficheiros.
O malware substitui o MBR com o seu próprio código, impedindo o computador de iniciar, apresentando uma mensagem no ecrã para o resgate de informação.
Aparentemente a fase de encriptação apenas se inicia após o reboot do computador.
Recomendações:
- Desabilite o WMIC e o protocolo SMBv1
- Aplique os Patchesde segurança: MS17-010 e CVE-2017-0199
- Filtre as portas 445 e 139 para todos as redes não confiáveis
- Atualize o antivírus e aplique assinaturas nos seus sistemas de proteção da rede.
Links que podem ser consultados com informação relevante sobre a recente ocorrência:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://www.blocktrail.com/BTC/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX/transactions
https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://virustotal.com/fr/ip-address/185.165.29.78/information/
https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/
[HOT] New Petya (MBR #ransomware) "loaded" with #ETERNALBLUE SMBv1 worm functionality (see ARP scan indicator): https://t.co/np2xM4309b pic.twitter.com/owd6zb7fhN
— Hybrid Analysis (@HybridAnalysis) June 27, 2017
https://www.infosecurity-magazine.com/news/ukraine-businesses-petya-ransomware/
http://thehackernews.com/2017/06/petya-ransomware-attack.html
If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6
— Hacker Fantastic (@hackerfantastic) June 27, 2017
No caso de possuir dados encriptados visite o site www.nomoreransom.org com regularidade de forma a consultar as últimas ferramentas e soluções disponíveis para o resgate dos dados.
Paulo Rosa
Security & Public Safety
Business Unit Manager