junho 27, 2017

[Segurança] Petya é responsável pelo novo ataque global de Ransomware

Aproximadamente um mês e meio depois da grande infestação mundial causada pelo Ransomware WannaCry, estamos novamente enfrentando um novo caso de ransomware se espalhando rapidamente pelo mundo.

Há relatos de que esse novo Ransomware, chamado Petya (também chamado de "PetrWrap", ou "NotPetya", "nPetya" e, mais raramente, "SortaPetya", "ExPetr", "GoldenEye" ou "Nyetya"), afetou fortemente empresas na Europa, começando pela Ucrânia, chegando até os EUA e já atingiu inclusive empresas brasileiras. Um caso curioso foi do sistema de monitoramento de radiação em Chernobyl, que foi desligado, forçando os funcionários a usar contadores portáteis para medir os níveis de radiação na zona de exclusão da antiga usina nuclear.

O governo da Ucrânia, por sua vez, já deu sinais de que acredita que o governo Russo está por trás desse malware.

No Brasil, a vítima mais conhecida do Petya foi o Hospital do Câncer de Barretos. Segundo o diretor clínico do hospital, Paulo de Tarso, todos os mil computadores foram infectados às 9h da manhã. Com isso, o atendimento de novos pacientes teve de ser feito manualmente e 350 pacientes em tratamento radioterápicos não puderam realizar suas sessões de radioterapia.

A Kaspersky relatou mais de 2.000 computadores infectados e a Microsoft, por sua vez, contabilizou 12.500 máquinas em 65 países - um número bem baixo, se comparado com o WannaCry.


O ataque que surgiu hoje foi causado por uma nova variante do Petya, um malware existente desde Abril de 2016 e que chegou a ser comercializado como "Software as a Service". O fato de ser uma variante tem causado um pouco de confusão, pois alguns relatórios e notícias disponíveis online com análise do ransomware se confundem ao tratar as características do ataque, e misturam informações das duas versões.

Assim como o WannaCry, o Petya também explora o exploit EternalBlue da NSA e a vulnerabilidade no SMBv1 para se espalhar rapidamente. Mas, na verdade, esta á só uma das formas de propagação que o malware utiliza (veja mais abaixo).

Entretanto, diferente do WannaCry que apenas encripta os arquivos da vítima, o Petya sequestra todo o computador: ele criptografa as tabelas do sistema de arquivos ("master file table", ou MFT), os arquivos em si, e altera o Master Boot Record (MBR) do computador, para garantir que o malware seja iniciado antes do sistema operacional. Esse comprometimento do MBR torna o computador totalmente fora de uso.

Devido as características destrutivas essa nova versão do Petya, associado ao fato de que a Ucrânia foi o país mais atingido, há vários pesquisadores de segurança que acreditam que este ataque foi, na verdade, um ataque destrutivo direcionado a Ucrânia, um "wiper" em vez de um "ransomware".



Então, vamos rapidamente identificar quais são as principais características desse malware, para que as empresas possam tomar alguma ação para evitar ou identificar a infestação.

Como o Petya funciona

Segundo os relatótios da Trend e da Kaspersky, entre outros, o Petya funciona da seguinte forma:
  • Inicialmente o ransomware entra no sistema através de alguma das formas abaixo:
    • usando o exploit EternalBlue, que explora aquela vulnerabilidade já conhecida no Server Message Block (SMB) v1;
    • o exploit EternalRomance, direcionado a equipamentos Windows do XP ao Windows 2008 (atualizado com o MS17-010);
    • ele extrai credenciais de usuários do processo lsass.exe na máquina invadida e utiliza a ferramenta PsExec ou WMIC (Windows Management Instrumentation Commandline) para acessar outros computadores Windows;
    • atacando o software Ucraniano MeDoc;
  • Ele baixa a ferramenta PsExec, um utilitário da Microsoft, que usa para executar processos remotamente, e assim se propagar lateralmente em outras máquinas na rede local;
  • Após infectar o sistema, o Petya usa o processo rundll32.exe para executar;
  • Imediatamente a máquina infectada começa a buscar a rede local por outras máquinas, a serem infectadas, buscando hosts na porta TCP 445;
    • Ele consulta o servidor DHCP para identificar qual é a rede atual e, em seguida, tenta acessar os endereços IP da rede local usando SMB e RPC;
    • Diferente do Wannacry; o Petya não tenta se propagar pela Internet;
  • Ele adiciona uma tarefa agendada, para reiniciar o sistema após uma hora;
  • Para gerar a chave de criptografia e o id único do usuário (que ele usa para identificar os pagamentos e recuperar os arquivos), o Petya usa o algoritmo Elliptic Curve Diffie-Hellman (ECDH);
  • O Master Boot Record é modificado para que o sistema operacional não reinicie e seja exibida a nota de resgate;
  • O computador é reiniciado e uma notificação falsa do CHKDSK é exibida, enquanto a criptografia dos arquivos é realizada;
  • Após o reboot do equipamento, aparece a mensagem de resgate do Ransomware e o computador fica inacessível.

A Trend e a Microsoft criaram uns diagramas para ilustrar o processo de infecção:




Após infectar a máquina, ele também exige o pagamento de 300 dólares, em bitcoins, para a vítima recuperar seus dados.

Já criaram um site para acompanhar o valor que já foi pago os autores do Petya, para conseguir resgatar os arquivos encriptados: até agora, os ciber criminosos já arrecadaram um pouco mais de 3 bitcoins (US$ 7.400).

Mas os usuários infectados não devem pagar o resgate, pois os ciber criminosos responsáveis pelo ransomware não podem mais receber e-mails, já que o provedor de e-mail suspendeu o endereço que está divulgado na mensagem de resgate do Petya (wowsmith123456@posteo.net). Assim, as vítimas não tem como avisar os criminosos que pagaram e, assim, também não podem obter as chaves de descriptografia.

Indicadores de comprometimento (IOCs)
  • Hashes SHA256 de samples associados a esse ransomware:
    • 27cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
    • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
  • Sample MD5 hash: 17c25c8a7c141195ee887de905f33d7b
  • E-mail: wowsmith123456@posteo.net
  • IPs:
    • 84.200.16.242
    • 95.141.115.108
    • 111.90.139.247
    • 185.165.29.78
  • Domínios:
    • coffeinoffice.xyz
    • french-cooking.com
    • sundanders.online
  • Bitcoin wallet: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
  • A Trend Micro já tem detecção para o ransomware, como RANSOM_PETYA.SMA
  • A Kaspersky detecta como Trojan-Ransom.Win32.PetrWrap e PDM:Trojan.Win32.Generic.
Nota: O e-mail informado pelo criminoso para receber notícia do pagamento de resgate foi cancelado pelo provedor alemão aonde ele está cadastrado.

Como Mitigar

Seguem algumas recomendações:
  • Aplicar o patch de segurança da Microsoft MS17-010
  • Desabilitar tráfego na porta TCP 445
  • Restringir acesso de contas dentro do grupo Administrator
  • Desabilite o WMIC (Windows Management Instrumentation Command-line)
  • Há quem diga que o Petya também tem um "kill switch": basta criar o arquivo "C:\Windows\perfc".
Como o Petya criptografa o computador da vítima de reiniciá-lo, se o sistema estiver infectado com o ransomware e ele tentar reiniciar, recomenda-se desligá-lo rapidamente e não ligá-lo novamente. Talvez seja possível recuperar o sistema operacional ou os dados com o uso de um disco de boot.

Ainda não foi descoberta uma forma para recuperar os dados criptografados sem que seja feito o pagamento do resgate. Existe como recuperar os arquivos da versão original do Petya, mas a versão atual utiliza novas técnicas de criptografia.

No início de Julho os autores do ransomware Petya original (de 2016) liberaram a chave mestre de descriptografia, uma semana depois dos autores do "novo Petya" pedirem 100 bitcoins para liberar a chave mestre.

Para saber mais:

Nota: Vou manter este post atualizado assim que descobrir novidades. Última atualização: 10/07.

2 comentários:

Daniel Quadros disse...

Me corrija se estiver errado: as formas de entrada que você listou são basicamente para a propagação dentro de uma rede local. A infecção do primeiro computador na rede local é feita através de emails com anexos ou link maliciosos.

Daniel Quadros disse...

Para rir (ou chorar): uma das mitigações sugeridas é criar o arquivo c:\windows\perfc.dat e marcar como read-only. Fiz isso e o anti vírus achou que eu estava infectado... #AntiVirusFail

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.