Ransomware

No passado dia 27 de Junho, uma campanha de Ransomware afetou organizações em vários países: Rússia, Ucrânia, Índia, Espanha, França, Reino Unido, entre outros países da Europa.

Esta nova variante do Petya exige “$300” bitcoins para o resgate da informação.

O vetor de ataque maioritário parece ser campanhas de Phishing de e-mails com documentos de Word e Excel em anexo. A exploração da vulnerabilidade CVE-2017-0199 é depois utilizada para instalação de ficheiros maliciosos com macros embutidas.

O malware propriamente dito é assim um ficheiro “.dll” que é executado através do rundll32.exe. Este malware possui então capacidades de infetar sistemas expostos publicamente, bem como sistemas internos, explorando as vulnerabilidades CVE-2017-0143 e CVE-2017-0144 (ETERNALBLUE). Após execução, o Petya utiliza os exploits ETERNALBLUE, assim como o Windows management Instrumentation comand-line ( WMIC) e o PsExec para se movimentar lateralmente e afetar sistemas internos.

Esta variante aparenta funcionar de modo diferente de outros Ransomwares uma vez que não encripta os ficheiros dos sistemas afetados, mas sim, o Master Boot Record (MBR), restringindo o acesso ao sistema e aos ficheiros.

O malware substitui o MBR com o seu próprio código, impedindo o computador de iniciar, apresentando uma mensagem no ecrã para o resgate de informação.

Aparentemente a fase de encriptação apenas se inicia após o reboot do computador.

 

Recomendações:

  • Desabilite o WMIC e o protocolo SMBv1
  • Aplique os Patchesde segurança: MS17-010 e CVE-2017-0199
  • Filtre as portas 445 e 139 para todos as redes não confiáveis
  • Atualize o antivírus e aplique assinaturas nos seus sistemas de proteção da rede.

 

Links que podem ser consultados com informação relevante sobre a recente ocorrência:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.blocktrail.com/BTC/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX/transactions

https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

https://virustotal.com/fr/ip-address/185.165.29.78/information/

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

https://www.infosecurity-magazine.com/news/ukraine-businesses-petya-ransomware/

http://thehackernews.com/2017/06/petya-ransomware-attack.html

No caso de possuir dados encriptados visite o site www.nomoreransom.org com regularidade de forma a consultar as últimas ferramentas e soluções disponíveis para o resgate dos dados.

 

Paulo Rosa
Security & Public Safety
Business Unit Manager

Artigos Relacionados

No Results Found

The page you requested could not be found. Try refining your search, or use the navigation above to locate the post.

Categorias

BlogNew

EbooksNew

MediaNew

Warp InfoNew

Receba todos os conteúdos da Warpcom!

Artigos relacionados

L