![Facebook](https://www.facebook.com/sharer/sharer.php?u=https://blog.nec.com.br/a-ficha-tecnica-do-ransomware-petya&title=A%20ficha%20técnica%20do%20"ransomware"%20Petya&picture=https://www.arcon.com.br/hubfs/ilya-pavlov-87438.jpg)
![Whatsapp](https://web.whatsapp.com/send?text=https://blog.nec.com.br/a-ficha-tecnica-do-ransomware-petya&title=A%20ficha%20técnica%20do%20"ransomware"%20Petya&picture=https://www.arcon.com.br/hubfs/ilya-pavlov-87438.jpg)
Em 27 de junho um novo ataque de ransomware afetou diversas localidades no mundo, totalizando até o momento 100 países. Dentre eles estavam Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia, um dos mais impactados tendo diversos serviços paralisados também por conta de um outro ciberataque em andamento no país.
Este ransomware tem capacidade de auto replicação e movimentação lateral, além de compartilhar partes de seu código com uma ameaça já conhecida como Petya.
Figura 1: Ransom Notes
Funcionalidades
O malware faz uso dos exploits já conhecidos EternalBlue e EternalRomance, mas utiliza também componentes adicionais para se espalhar em uma rede local com uso do PSEXEC, WMI e Mimikatz.
A partir do módulo Mimikatz implementado, é possível coletar as credenciais em uso na máquina e, com PSEXEC/WMI, se autenticar em outras máquinas pela rede para se espalhar.
Caso haja uma credencial com mais permissões, como domain/enterprise admin, o malware consegue se espalhar em larga escala dentro de uma organização e isto ocorre mesmo em máquinas com patches atualizados.
Figura 2: Uso do PSEXEC no processo de movimentação lateral, executando o payload na máquina alvo via rundll32.exe
Figura 3: Criador do Mimikatz confirma uso de seu material no novo malware
Outro ponto de destaque é que não há a presença de um killswitch nesta ameaça, como foi no caso do Wanna Cry. Vale lembrar que esta funcionalidade era uma técnica de evasão contra a análise do malware, mas que teve o efeito de limitar seu alcance. Há, no entanto, uma vacina que precisa ser criada manualmente e impede a infecção ao criar um arquivo específico em formato somente de leitura no caminho C:\Windows\perfc.
Figura 4: Rotina que checa a existência do arquivo C:\Windows\perfc
Petya or Not Petya?
O ransomware foi inicialmente reconhecido como Petya por conta de seu comportamento na criptografia do Master File Table, mas há diversas novas funcionalidades que podem identificar esta ameaça como completamente nova.
O ransomware Petya tinha usualmente 3 componentes principais:
- Um boot loader que faz a criptografia do MFT
- Um dropper que faz a instalação do payload/boot loader
- E um módulo de ransomware conhecido também como Misha
Nesta versão somente o boot loader está presente. No entanto, há um dropper próprio, um módulo de usuário de ransomware também próprio, um módulo de worm alterado em cima do EternalBlue original, um módulo recompilado do Mimikatz, dentre outras características... o que levanta tal questionamento.
Ransomware or not Ransomware?
Novas descobertas indagam o real objetivo do ransomware. De acordo com a Comae esta implementação do Petya pode não ter exatamente uma funcionalidade de ransomware, mas sim de Wiper, que tem a função exclusiva de destruição de dados. Ao compararem duas versões do Petya, uma de 2016 e a de agora, os pesquisadores identificaram que a versão mais recente ocasiona danos irreversíveis, enquanto a mais antiga possibilita a recuperação dos dados.
Figura 5: Versões do Petya
Com base nesses fatos, existe uma forte teoria de que, na verdade, o ciberataque tenha sido disparado pela Rússia contra a Ucrânia, enquanto atraía a atenção da mídia para mais um caso de ransomware de escala internacional, como aconteceu com o Wanna Cry. A Ucrânia tem sido alvo de ataques cibernéticos frequentes mas são necessárias mais pesquisas para que esta teoria se corrobore.
Pagamento bloqueado
O serviço de email alemão Posteo bloqueou a conta de endereço que estava registrada nas mensagens do ataque. De qualquer forma, vale lembrar que não se recomenda o pagamento do resgate pois não há garantias de recuperação.
Vetor de ataque
Até o momento não há evidências de que haja uma funcionalidade de worm que se espalhe via internet, como foi o caso do Wanna Cry que escaneava máquinas vulneráveis ao MS17-010.
O principal vetor até o momento (e potencialmente o inicial) foi o comprometimento de um fornecedor de softwares ucraniano conhecido como M.E.Doc. O processo de atualização de software desta empresa - Ezvit.exe - foi aparentemente subvertido, levando à instalação do ransomware em milhares de máquinas que fazem uso de seus serviços.
Já o fabricante Kasperky indica um outro vetor de infecção: o website da cidade ucraniana de Bahmut (bahmut.com.ua/news/). O ataque vinha sendo entregue via watering hole, ou seja, quando um site confiável é comprometido e infecta os visitantes. No entanto, informaram que o website já foi desinfectado.
Figura 6: Cadeia de processos que potencialmente iniciou a infecção do malware na Ucrânia, segundo sistema de telemetria da Microsoft.
Indicadores de comprometimento
Indicadores de arquivo:
|
FileName |
Hash Type |
Hash Value |
|
dllhost.dat/ perfc.dat/ perfc.txt |
FileHash-SHA256 |
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 |
|
|
FileHash-SHA1 |
34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d |
|
|
FileHash-SHA256 |
64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 |
|
|
FileHash-MD5 |
71b6a493388e7d0b40c83ce903bc6b04 |
|
|
FileHash-SHA1 |
34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d |
|
|
FileHash-SHA1 |
9717cfdc2d023812dbc84a941674eb23a2a8ef06 |
|
|
FileHash-SHA1 |
38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf |
|
|
FileHash-SHA1 |
56c03d8e43f50568741704aee482704a4f5005ad |
Indicadores de Shell:
|
Comportamento |
Ação |
|
Deleção de eventos do Windows |
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c: |
|
Tarefa agendada pra reboot da máquina |
schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST <time> |
|
Tarefa agendada pra reboot da máquina |
cmd.exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST <time> |
|
Movimentação lateral via WMI |
process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\” #1 |
Indicadores de Rede:
|
Comportamento |
|
Estações de trabalho fazendo scan interno nas portas TCP/139 e TCP/445 |
|
Servidores/Domain Controllers fazendo scan interno nas portas TCP/139 e TCP/445 |
Recomendações
- Aplique os patches de correção do boletim Microsoft MS17-010.
- A maioria dos fabricantes já possui assinaturas de detecção para uso dos exploits e vacinas para a ameaça. Aplique-as!
- Bloqueie ou desabilite o protocolo SMB onde for possível - Portas 137 e 138 UDP e TCP 139 e 445.
- Caso seja necessário parar a rede para evitar a disseminação de uma ameaça, faça de forma planejada: desligue a rede dos usuários (rede física e Wifi) focando na atualização dos servidores e, posteriormente, forçando a atualização das máquinas à medida em que elas são religadas.
- Valide o processo de backup na empresa e trabalhe com segmentação de rede, fazendo testes periódicos em ambos.
- Considere o uso de virtual patching para sistemas legados.
- Adote o gerenciamento sobre o uso de Psexec, wmi e powershell.
- Adote a monitoração de logs do S.O., rede e tecnologias de segurança.
