CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/06/2017

Nueva campaña de Ransomware afecta a empresas en todo el mundo

Se ha detectado una nueva campaña de ransomware similar al ya conocido Petya que ha afectado a grandes empresas a nivel mundial.

Riesgo: Crítico

Este nuevo ransomware, que ha afectado principalmente a Ucrania pero también a otras empresas a nivel mundial (incluyendo España), comparte características con Petya, ya que reinicia el equipo y modifica el MBR (partición de inicio del disco duro del sistema), impidiendo el acceso al sistema operativo y cifra los documentos del disco duro del equipo. Además, se han encontrado también componentes del ransomware WannaCry, ya que para infectar a los equipos utiliza algunas de las vulnerabilidades utilizadas por dicho ransomware, como las corregidas en el boletín de Microsoft MS17-010.

Por si esto fuera poco, el ransomware incluye en su código una versión de PsExec (para lograr la ejecución de procesos de forma remota) y otra de Mimikatz (para obtener credenciales de los usuarios que han iniciado sesión en el sistema), y se sirve también de WMIC (componente de Windows para realización de tareas de administración). Con todas estas herramientas, y una vez infectado un equipo, intenta obtener credenciales de usuarios con privilegios administrativos en la organización, para posteriormente enumerar los equipos de la red y replicarse en tantos de ellos como le sea posible utilizando las credenciales obtenidas.Si no lo consigue, utiliza exploits como EternalBlue para propagarse.

Hay que destacar que, si tiene éxito robando credenciales, en la fase de propagación se infectarían todos los equipos a pesar de estar completamente parcheados, ya que no se hace uso de ninguna vulnerabilidad, sino que se accede a ellos con credenciales legítimas.

Aún se desconoce el punto exacto de entrada, pero hay varios reportes que apuntan al compromiso del sistema de actualización de un software llamado MEDoc para la realización de tareas de contabilidad y pago de impuestos y con gran difusión en Ucrania. Otros reportes indican que la infección podría venir a través de un correo electrónico de phishing dirigido.

Se han recopilado los siguientes indicadores de compromiso (IoC), que se recomienda monitorizar en todas las redes:

Este malware cifra archivos con las siguientes extensiones: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Se pueden encontrar más IoC, actualizados periódicamente, en esta página de GitHub, y firmas de Snort/Suricata para detectar la ejecución del ransomware aquí.

En la sección de notas se incluyen varios informes relativos a este ataque publicados en las últimas horas.

Sistemas Afectados:

Pueden estar potencialmente afectados todos los equipos Windows, con cualquier versión y cualquier nivel de parcheo.

Referencias:

None

Solución:

Se recomienda:

En lo que respecta al uso de credenciales de administración en la organización, otra opción posible sería iniciar sesión con el modo "Restricted Admin Remote Desktop", con el que no se envían las credenciales al equipo cliente, evitando así que se puedan robar de un equipo comprometido. Más información al respecto en SANS DFIR Blog y scip AG Blog.

Recordamos además que no se deben reutilizar contraseñas para diferentes servicios, y no se deben compartir contraseñas entre varios usuarios.

Notas:

Windows Security Blog

McAfee Knowledge Center

McAfee Labs

GitHub Gists: Petya Ransomware

Cisco Talos Intelligence Blog

SANS ISC Diary

Bleeping Computer

PaloAlto Research Center Blog

BitDefender Labs

Fuente: CSIRT-CV

CSIRT-CV