Petya/NotPetya/PetrWrap es el más reciente ransomware que ha logrado hasta hoy comprometer infraestructuras en más de 65 países.
Viaja encapsulado dentro de un gusano informático y que una vez penetran en el sistema objetivo, ejecuta movimientos laterales; aprovechando la vulnerabilidad en la implementación del protocolo Server Message Block (SMB).
SMB es un protocolo para compartir archivos en red que permite leer y escribir en archivos, solicitar servicios y ejecutar códigos. Este puede ser explotado de varias maneras; ya sea mediante emails (wannacry) o mediante actualizaciones de software (Petya).
Es así que Petya utilizó como método de propagarse una actualización de un software perteneciente a una firma ucraniana “MeDoc”, la cual provee software de computadores a gobierno y principales empresas del Mercado Ucraniano. Toda esta propagación, fue encausada gracias al creciente uso de las whitelists como medidas de seguridad, entonces los ataques fueron direccionados a los proveedores de software; en el caso de MeDoc, aunque el código desarrollado estaba cifrado; el ataque fue tan profundo que incluso lograron acceso a la clave criptográfica para cifrado del código del software; con lo que pudieron firmar la actualización maliciosa por si mismos o incluso modificar el código fuente del software para agregar sus backdoors.
Para realizar el movimiento lateral, Petya toma control total sobre herramientas de manejo del sistema como Windows PsExec (utilidad que permite ejecutar comandos en la misma red que tienen abierto el puerto 445 o 139) y WMI (Windows Management Instrumentation). Y adicionalmente hace uso de LSADump (utilidad para obtener información de credenciales del computador y de controladores de dominio en la red) y MimiKatz (para la extracción de credenciales del proceso lsass.exe).
Como explicación breve, la infección Petya consta de dos partes:
La primera es el cifrado del sistema, el cual no se produce de manera inmediata, sino espera entre 10 minutos y 1 hora para ejecutar el reinicio del sistema, programado mediante schtasks y shutdown.exe. Luego del reinicio es que empieza con el cifrado de la tabla MFT (master File Table) en las particiones NTFS, sobrescribiendo de ese modo el registro de arranque principal (MBR) con un loader donde se incluye la nota del ransomware.
La segunda parte es el cifrado de todos los archivos del disco duro mediante ransomware y virus Mischa (Mischa variante de Petya que se instala si la infiltración del ransomware inicial no tuvo éxito, protegiéndose a sí mismo de fallos, y que además no requiere privilegios de administrador).
Algunas recomendaciones:
Petya (a diferencia de WannaCry que cifraba archivos del PC) obliga a reiniciar al PC y se ejecuta en el arranque para cifrarlo; por lo que, en caso de infección, al ver un mensaje de Check Disk al arrancar el PC, se recomienda apagarlo de inmediato evitando así su ejecución e inicio de la fase de infección.
Adicionalmente, para estar protegido es importante realizar las actualizaciones de los parches de seguridad del sistema operativo, mantener los antivirus y las herramientas de seguridad de borde actualizados, ejecutar análisis de vulnerabilidades y escaneos regulares de sistemas, archivos, emails, y por último la implementación de soluciones de seguridad SandBlast (ZeroDay Protect) y soluciones Anti-Ransomware contra Petya, Petrwrap, WannaCry y otros.
Es importante hacer incapié en que no se debe pagar para la recuperación de la información; más de 45 víctimas han declarado que después de haber pagado un total de $10,500 Bitcoins en total; jamás recuperaron su información.
Puedes seguir una publicación más detallada sobre este ataque en:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
Si quieres conocer más sobre este tema o estas interesado en implementar/mejorar estas plataformas en tu organización, por favor déjanos un comentario o escríbenos a info@telavog.net.