Há relatos de que esse novo Ransomware, chamado Petya (também chamado de "PetrWrap", ou "NotPetya", "nPetya" e, mais raramente, "SortaPetya", "ExPetr", "GoldenEye" ou "Nyetya"), afetou fortemente empresas na Europa, começando pela Ucrânia, chegando até os EUA e já atingiu inclusive empresas brasileiras. Um caso curioso foi do sistema de monitoramento de radiação em Chernobyl, que foi desligado, forçando os funcionários a usar contadores portáteis para medir os níveis de radiação na zona de exclusão da antiga usina nuclear.
O governo da Ucrânia, por sua vez, já deu sinais de que acredita que o governo Russo está por trás desse malware.
No Brasil, a vítima mais conhecida do Petya foi o Hospital do Câncer de Barretos. Segundo o diretor clínico do hospital, Paulo de Tarso, todos os mil computadores foram infectados às 9h da manhã. Com isso, o atendimento de novos pacientes teve de ser feito manualmente e 350 pacientes em tratamento radioterápicos não puderam realizar suas sessões de radioterapia.
A Kaspersky relatou mais de 2.000 computadores infectados e a Microsoft, por sua vez, contabilizou 12.500 máquinas em 65 países - um número bem baixo, se comparado com o WannaCry.
O ataque que surgiu hoje foi causado por uma nova variante do Petya, um malware existente desde Abril de 2016 e que chegou a ser comercializado como "Software as a Service". O fato de ser uma variante tem causado um pouco de confusão, pois alguns relatórios e notícias disponíveis online com análise do ransomware se confundem ao tratar as características do ataque, e misturam informações das duas versões.
Assim como o WannaCry, o Petya também explora o exploit EternalBlue da NSA e a vulnerabilidade no SMBv1 para se espalhar rapidamente. Mas, na verdade, esta á só uma das formas de propagação que o malware utiliza (veja mais abaixo).
Entretanto, diferente do WannaCry que apenas encripta os arquivos da vítima, o Petya sequestra todo o computador: ele criptografa as tabelas do sistema de arquivos ("master file table", ou MFT), os arquivos em si, e altera o Master Boot Record (MBR) do computador, para garantir que o malware seja iniciado antes do sistema operacional. Esse comprometimento do MBR torna o computador totalmente fora de uso.
Devido as características destrutivas essa nova versão do Petya, associado ao fato de que a Ucrânia foi o país mais atingido, há vários pesquisadores de segurança que acreditam que este ataque foi, na verdade, um ataque destrutivo direcionado a Ucrânia, um "wiper" em vez de um "ransomware".
Então, vamos rapidamente identificar quais são as principais características desse malware, para que as empresas possam tomar alguma ação para evitar ou identificar a infestação.
Como o Petya funciona
Segundo os relatótios da Trend e da Kaspersky, entre outros, o Petya funciona da seguinte forma:
- Inicialmente o ransomware entra no sistema através de alguma das formas abaixo:
- usando o exploit EternalBlue, que explora aquela vulnerabilidade já conhecida no Server Message Block (SMB) v1;
- o exploit EternalRomance, direcionado a equipamentos Windows do XP ao Windows 2008 (atualizado com o MS17-010);
- ele extrai credenciais de usuários do processo lsass.exe na máquina invadida e utiliza a ferramenta PsExec ou WMIC (Windows Management Instrumentation Commandline) para acessar outros computadores Windows;
- atacando o software Ucraniano MeDoc;
- Ele baixa a ferramenta PsExec, um utilitário da Microsoft, que usa para executar processos remotamente, e assim se propagar lateralmente em outras máquinas na rede local;
- Após infectar o sistema, o Petya usa o processo rundll32.exe para executar;
- Imediatamente a máquina infectada começa a buscar a rede local por outras máquinas, a serem infectadas, buscando hosts na porta TCP 445;
- Ele consulta o servidor DHCP para identificar qual é a rede atual e, em seguida, tenta acessar os endereços IP da rede local usando SMB e RPC;
- Diferente do Wannacry; o Petya não tenta se propagar pela Internet;
- Ele adiciona uma tarefa agendada, para reiniciar o sistema após uma hora;
- Para gerar a chave de criptografia e o id único do usuário (que ele usa para identificar os pagamentos e recuperar os arquivos), o Petya usa o algoritmo Elliptic Curve Diffie-Hellman (ECDH);
- O Master Boot Record é modificado para que o sistema operacional não reinicie e seja exibida a nota de resgate;
- O computador é reiniciado e uma notificação falsa do CHKDSK é exibida, enquanto a criptografia dos arquivos é realizada;
- Após o reboot do equipamento, aparece a mensagem de resgate do Ransomware e o computador fica inacessível.
A Trend e a Microsoft criaram uns diagramas para ilustrar o processo de infecção:
Após infectar a máquina, ele também exige o pagamento de 300 dólares, em bitcoins, para a vítima recuperar seus dados.
Já criaram um site para acompanhar o valor que já foi pago os autores do Petya, para conseguir resgatar os arquivos encriptados: até agora, os ciber criminosos já arrecadaram um pouco mais de 3 bitcoins (US$ 7.400).
Mas os usuários infectados não devem pagar o resgate, pois os ciber criminosos responsáveis pelo ransomware não podem mais receber e-mails, já que o provedor de e-mail suspendeu o endereço que está divulgado na mensagem de resgate do Petya (wowsmith123456@posteo.net). Assim, as vítimas não tem como avisar os criminosos que pagaram e, assim, também não podem obter as chaves de descriptografia.
Indicadores de comprometimento (IOCs)
- Hashes SHA256 de samples associados a esse ransomware:
- 27cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
- Sample MD5 hash: 17c25c8a7c141195ee887de905f33d7b
- E-mail: wowsmith123456@posteo.net
- IPs:
- 84.200.16.242
- 95.141.115.108
- 111.90.139.247
- 185.165.29.78
- Domínios:
- coffeinoffice.xyz
- french-cooking.com
- sundanders.online
- Bitcoin wallet: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
- A Trend Micro já tem detecção para o ransomware, como RANSOM_PETYA.SMA
- A Kaspersky detecta como Trojan-Ransom.Win32.PetrWrap e PDM:Trojan.Win32.Generic.
Como Mitigar
Seguem algumas recomendações:
- Aplicar o patch de segurança da Microsoft MS17-010
- Desabilitar tráfego na porta TCP 445
- Restringir acesso de contas dentro do grupo Administrator
- Desabilite o WMIC (Windows Management Instrumentation Command-line)
- Há quem diga que o Petya também tem um "kill switch": basta criar o arquivo "C:\Windows\perfc".
Ainda não foi descoberta uma forma para recuperar os dados criptografados sem que seja feito o pagamento do resgate. Existe como recuperar os arquivos da versão original do Petya, mas a versão atual utiliza novas técnicas de criptografia.
No início de Julho os autores do ransomware Petya original (de 2016) liberaram a chave mestre de descriptografia, uma semana depois dos autores do "novo Petya" pedirem 100 bitcoins para liberar a chave mestre.
Para saber mais:
- Vulnerabilidade MS17-010 (Security Update for Microsoft Windows SMB Server - 4013389)
- Artigos da SecureList / Kaspersky:
- PetrWrap: the new Petya-based ransomware used in targeted attacks"
- "Schroedinger’s Pet(ya)"
- ExPetr/Petya/NotPetya is a Wiper, Not Ransomware
- Blog da TrendMicro: Large-Scale Ransomware Attack In Progress, Hits Europe Hard
- Análise detalhada do MalwarebyteLabs, criado na 1a versão do Petya (em Abril de 2016): "Petya – Taking Ransomware To The Low Level"
- Veja quanto já foi pago: howmuchpetyapaidthehacker.com
- Reportagem no The Register: "Huge ransomware outbreak spreads in Ukraine and beyond"
- Reportagem do The Guardian: "'Petya' ransomware attack strikes companies across Europe and US"
- Texto no Github com vários detalhes técnicos: https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
- Lista de IOCs no site AlienVault
- Sample no Virus Total
- Posts do Internet Storm Center (SANS):
- Reportagem "Novo vírus se espalha pelo mundo e pode já ter chegado ao Brasil"
- Do TheHackersNews: "Petya Ransomware Spreading Rapidly Worldwide, Just Like WannaCry"
- Blog do MalwareTech: "Petya Ransomware Attack – What’s Known"
- Massive Malware Outbreak: More Clever Than WannaCry
- Análise bem completa da Microsoft: "New ransomware, old techniques: Petya adds worm capabilities"
- Recomendação da FireEye para detectar o Petya: Petya Ransomware Spreading Via EternalBlue Exploit
- Original Author of Petya Ransomware is Back & He Wants to Help NotPetya Victims
- Artigo interessante: "Turns Out New Petya is Not a Ransomware, It’s a Destructive Wiper Malware"
- Vários indicadores de comprometimento, mas o artigo não está muito preciso (por exemplo, sugere bloquear o recebimento de mensagens vindas do correio eletrônico que os ciber criminosos iusam para receber aviso de pagamento, o que não faz muito sentido, pois isso não é um vetor de ataque e esse e-mail foi bloqueado pelo provedor!): "Everything Technical About The New Ransomware Petya"
- Para clientes da RSA, há um blog post sobre como detectar o ataque: "Detecting “Petya/NotPetya” with RSA NetWitness Endpoint and RSA NetWitness Packets"
- Teardown of 'NotPetya' Malware: Here's What We Know
- Artigo interessante da Errata Security: "Yet more reasons to disagree with experts on nPetya"
- "From BlackEnergy to ExPetr" - pesquisadores da Kaspersky estão buscando um elo de ligação entre o Petya e o Blackenergy
- Police in Ukraine Blame Russia for NotPetya
- NotPetya Patient Zero: Ukrainian Accounting Software Vendor
- Petya ransomware authors demand $250,000 in first public statement since the attack
- Decryption Key to Original Petya Ransomware Released
Nota: Vou manter este post atualizado assim que descobrir novidades. Última atualização: 10/07.
2 comentários:
Me corrija se estiver errado: as formas de entrada que você listou são basicamente para a propagação dentro de uma rede local. A infecção do primeiro computador na rede local é feita através de emails com anexos ou link maliciosos.
Para rir (ou chorar): uma das mitigações sugeridas é criar o arquivo c:\windows\perfc.dat e marcar como read-only. Fiz isso e o anti vírus achou que eu estava infectado... #AntiVirusFail
Postar um comentário