Ataque de ransomware a gran escala, golpea duramente a Europa

Madrid, 28 de junio de 2017 – Un ataque de ransomware a gran escala del que se ha comunicado que ha sido causado por una variante del ransomware Petya está golpeando actualmente a varios usuarios, particularmente en Europa. Esta variante, que Trend Micro ya detecta como RANSOM_PETYA.SMA, es conocida por utilizar tanto el exploit EternalBlue como la herramienta PsExec como vectores de infección. Tanto a usuarios como a organizaciones se les aconseja seguir los siguientes pasos de mitigación inmediatamente para prevenir y evitar la infección:

  • Aplicar el parche de seguridad MS17-010
    • Desactivar el puerto TCP 445
    • Restringir las cuentas con acceso al grupo de administradores

Trend Micro también protege a sus clientes contra esta amenaza con Predictive Machine Learning y otras importantes funciones de seguridad frente al ransomware que se encuentran en Trend Micro XGen™ security. Actualmente, la compañía está trabajando en el análisis de esta amenaza y actualizará esta publicación tan pronto tenga más detalles disponibles.

Corriente de infección

Como se mencionó anteriormente, la entrada inicial de este ransomware en el sistema implica el uso de la herramienta PsExec, una herramienta oficial de Microsoft utilizada para ejecutar procesos en sistemas remotos. También utiliza la vulnerabilidad de EternalBlue -previamente empleada en el ataque de WannaCry– que se dirige a una vulnerabilidad en Server Message Block (SMB) v1. Una vez en un sistema, esta variante Petya utiliza el proceso rundll32.exe para ejecutarse por sí misma.  El cifrado real es llevado a cabo por un archivo llamado perfc.dat, ubicado en la carpeta de Windows.

Este ransomware añade entonces una tarea programada, que reinicia el sistema después de al menos una hora (Mientras tanto, la Master Boot Record (MBR) también se modifica para que el encriptador realice el cifrado y se muestre la nota de rescate correspondiente. Inicialmente, se muestra una notificación falsa de CHKDSK, es decir, cuando el cifrado se lleva a cabo realmente. Normalmente el ransomware, no cambia las extensiones de los archivos cifrados. Más de 60 extensiones de archivos están dirigidas al cifrado, vale la pena señalar que las extensiones de archivo objetivo se centran en los tipos de archivo utilizados en la configuración de la empresa; imágenes y archivos de vídeo (dirigidos por otros ataques de ransomware) están particularmente ausentes.

Figura 1. Diagrama de infección

   

Figuras 2 y 3. Avisos de Ransomware que se muestran después del reinicio 

Aparte del uso del exploit EternalBlue, hay otras similitudes a WannaCry. Al igual que este ataque, el proceso de rescate de esta variante Petya es relativamente simple: también utiliza una dirección Bitcoin codificada, haciendo que el descifrado sea un proceso mucho más laborioso por parte de los atacantes. Esto contrasta con los ataques anteriores de Petya, que tenían una interface de usuario (UI) más desarrollada para este proceso. A cada usuario afectado se le pide que pague un rescate de 300 dólares. Hasta este momento, se han pagado aproximadamente 7.500 dólares en la dirección de Bitcoin. Como en todos los ataques de ransomware, Trend Micro aconseja no pagar el rescate –en este caso, esto es particularmente importante, ya que la cuenta de correo electrónico mencionada en la nota de rescate ya no está activa.

PsExec y línea de Comando de Información de Administración de Windows (WMIC)
Petya utiliza hábilmente los procesos legítimos de Windows PsExec y Windows Management Information Command-line, que es una interfaz que simplifica el uso de Windows Management Instrumentation (WMI).

Una vez que Petya se ha descargado, descargará psexec.exe como dllhost.dat en la máquina de destino. El malware también desgarta una copia de sí mismo en \\{nombre de máquina remota}\admin $\{malware filename}. A continuación, ejecuta la copia eliminada utilizando dllhost.dat localmente (que es el nombre de archivo de la herramienta PSExec) con los parámetros siguientes:

dllhost.dat \\{remote machine name} -accepteula -s -d C:\Windows\System32\rundll32 “C:\Windows\{malware filename}”,#1 {random number minimum 10} {enumerated credentials}

El formato de {enumerated credentials} es el siguiente:

“Un1: pw1” “un2: pw2” “un3: pw3” … “unN: pwN”

Si esto no tiene éxito, entonces Petya utilizará WMIC.EXE para ejecutar el archivo en la máquina remota:

%System%\wbem\wmic.exe /node:”{node}” /user:”{user name}” /password:”{password}” process call create “C:\Windows\System32\rundll32 \”C:\Windows\{malware filename}\” #1 {random number minimum 10} {enumerated credentials}”

Petya utilizará PSExec o WMIC para difundir el malware a otros sistemas dentro de la red local. Si esta parte de la cadena de infección no funciona, solo entonces Petya explotará la vulnerabilidad EternalBlue.

Método de extracción de información
Trend Micro ha descubierto que esta variante de Petya utiliza un método avanzado para extraer información del sistema infectado. Utiliza un Mimikatz personalizado, una herramienta de seguridad legítima, para extraer nombres de usuario y contraseñas. Los ejecutables Mimikatz de 32 bits y 64 bits se cifran y almacenan en la sección de recursos del ransomware. El método de extracción se ejecuta cuando el proceso de malware principal abre un conducto, que es utilizado por el Mimikatz personalizado para escribir sus resultados. Estos resultados son leídos por el proceso principal del malware. Como se mencionó anteriormente, Petya es capaz de extenderse a otros sistemas dentro de la red local utilizando esta información extraída.

Procedimiento de modificación del disco
Antes del cifrado, Petya modificará primero el MBR como parte de su proceso. Inicialmente, el sector después Volume Boot Record (VBR) se escribe con código (0xBAADF00D), lo que hace que el sistema no arranque.

También accede a los siguientes sectores:

  • Los sectores 0 a 18 (desplazamiento de disco 0 a 25FFh) se sobrescriben con su propio programa de arranque.
    • El sector 32 (desplazamiento del disco 4000h a 41FFh) se escribe con algunos datos aleatorios estructurados.
    • El sector 33 (offset de disco 4200h a 43FFh) se llena con 07h.

El MBR original está cifrado:

  • El sector 34 (desplazamiento de disco 4400h a 45FFh) se escribe con el MBR original cifrado XOR.

Si el proceso anterior falla, sobreescribirá los sectores 0-9 con código (0xBAADF00D).

Soluciones de Trend Micro

Puedes encontrar más información sobre las soluciones de Trend Micro en este artículo.

Los siguientes hashes SHA256 están relacionados con esta amenaza:

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*