Cristian Palacios
24 jul 2017 • 3 Min. de lectura
Petya/NotPetya/PetrWrap es el mas reciente ransomware que ha logrado hasta hoy comprometer infraestructuras en mas de 65 paises.
Viaja encapsulado dentro de un gusano informatico que una vez penetra en el sistema objetivo, ejecuta movimientos laterales; aprovechando la vulnerabilidad en la implementacion del protocolo Server Message Block (SMB).
SMB es un protocolo para compartir archivos en red que permite leer y escribir en archivos, solicitar servicios y ejecutar codigos. Este puede ser explotado de varias maneras; ya sea mediante emails (wannacry) o mediante actualizaciones de software (Petya).
Petya utilizo como metodo de propagarse una actualizacion de un software perteneciente a una firma ucraniana “MeDoc”, la cual provee software de computadores a gobierno y principales empresas del mercado ucraniano. Toda esta propagacion, fue encausada gracias al creciente uso de las whitelists como medidas de seguridad, entonces los ataques fueron direccionados a los proveedores de software; en el caso de MeDoc, aunque el codigo desarrollado estaba cifrado; el ataque fue tan profundo que incluso lograron acceso a la clave criptografica para cifrado del codigo del software; con lo que pudieron firmar la actualizacion maliciosa por si mismos o incluso modificar el codigo fuente del software para agregar sus backdoors.
Para realizar el movimiento lateral, Petya toma control total sobre herramientas de manejo del sistema como Windows PsExec (utilidad que permite ejecutar comandos en la misma red que tienen abierto el puerto 445 o 139) y WMI (Windows Management Instrumentation). Adicionalmente hace uso de LSADump (utilidad para obtener informacion de credenciales del computador y de controladores de dominio en la red) y MimiKatz (para la extraccion de credenciales del proceso lsass.exe).
Como explicacion breve, la infeccion Petya consta de dos partes:
-
El cifrado del sistema, que no se produce de manera inmediata, sino que espera entre 10 minutos y 1 hora para ejecutar el reinicio del sistema, programado mediante schtasks y shutdown.exe. Luego del reinicio empieza con el cifrado de la tabla MFT (master File Table) en las particiones NTFS, sobrescribiendo el registro de arranque principal (MBR) con un loader donde se incluye la nota del ransomware.
-
El cifrado de todos los archivos del disco duro mediante ransomware y virus Mischa (Mischa variante de Petya que se instala si la infiltracion del ransomware inicial no tuvo exito, protegiendose a si mismo de fallos, y que ademas no requiere privilegios de administrador).
Recomendaciones:
-
Petya obliga a reiniciar el PC y se ejecuta en el arranque para cifrarlo; por lo que, en caso de infeccion, al ver un mensaje de Check Disk al arrancar el PC, se recomienda apagarlo de inmediato evitando asi su ejecucion e inicio de la fase de infeccion.
-
Realizar actualizaciones de los parches de seguridad del sistema operativo, mantener antivirus y herramientas de seguridad actualizados, ejecutar analisis de vulnerabilidades y escaneos regulares de sistemas, archivos, emails.
-
Implementar soluciones de seguridad SandBlast (ZeroDay Protect) y soluciones Anti-Ransomware contra Petya, Petrwrap, Wannacry y otros.
Importante: No pagar por la recuperacion de la informacion. Mas de 45 victimas han declarado que despues de pagar un total de $10,500 en Bitcoins, jamas recuperaron su informacion.
Puedes seguir una publicacion mas detallada sobre este ataque en:
Microsoft TechNet Blog
Si quieres conocer mas sobre este tema o estas interesado en implementar/mejorar estas plataformas en tu organizacion, dejanos un comentario o escribenos a info@telavog.net.
#Ransomware #Petya #Bitcoin #Wannacry #SeguridadInformatica