CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/06/2017

Nova campanya de Ransomware afecta empreses en tot el món

S’ha detectat una nova campanya de programari maliciós de rescat (ransomware) semblant al ja conegut Petya que ha afectat grans empreses en l’àmbit mundial.

Risc: Crític

Aquest nou programari maliciós de rescat, que ha afectat principalment Ucraïna però també altres empreses a tot el món (inclosa Espanya), comparteix característiques amb Petya, ja que reinicia l’equip i modifica el MBR (partició d’inici del disc dur del sistema), impedeix l’accés al sistema operatiu i xifra els documents del disc dur de l’equip. A més, s’han trobat també components del programari maliciós de rescat WannaCry, ja que per a infectar els equips utilitza algunes de les vulnerabilitats utilitzades pel dit programari maliciós de rescat, com les corregides en el butlletí de Microsoft MS17-010.

Per si açò fora poc, el programari maliciós de rescat inclou en el seu codi una versió de PsExec (per a aconseguir l’execució de processos de forma remota) i una altra de Mimikatz (per a obtindre credencials dels usuaris que han iniciat sessió en el sistema), i se serveix també de WMIC (component de Windows per a la realització de tasques d’administració). Amb totes aquestes eines, i una vegada infectat un equip, intenta obtindre credencials d’usuaris amb privilegis administratius en l’organització, per a posteriorment enumerar els equips de la xarxa i replicar-se en tants com li siga possible utilitzant les credencials obtingudes. Si no ho aconsegueix, utilitza exploits com EternalBlue per a propagar-se.

Cal destacar que, si té èxit robant credencials, en la fase de propagació s’infectarien tots els equips a pesar d’estar completament apedaçats, ja que no es fa ús de cap vulnerabilitat, sinó que s’hi accedeix amb credencials legítimes.

Encara es desconeix el punt exacte d’entrada, però hi ha diversos informes que apunten al compromís del sistema d’actualització d’un programari anomenat MEDoc per a la realització de tasques de comptabilitat i pagament d’impostos i amb gran difusió a Ucraïna. Altres informes indiquen que la infecció podria vindre a través d’un correu electrònic de pesca dirigit.

S’han recopilat els següents indicadors de compromís (IoC), que es recomana monitoritzar en totes les xarxes:

Aquest programari maliciós xifra arxius amb les extensions següents: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Es poden trobar més IoC, actualitzats periòdicament, en aquesta pàgina de GitHub, i firmes de Snort/Suricata per a detectar l’execució del programari maliciós de rescat ací.

En la secció de notes s’inclouen diversos informes relatius a aquest atac publicats en les últimes hores

Sistemes Afectats:

Poden estar potencialment afectats tots els equips Windows, amb qualsevol versió i qualsevol nivell d’apedaçament.

Referències:

None

Solució:

Es recomana:

Pel que fa a l’ús de credencials d’administració en l’organització, una altra opció possible seria iniciar sessió amb el mode "Restricted Admin Reme’t Desktop", amb el qual no s’envien les credencials a l’equip client, i evitar així que es puguen robar d’un equip compromés. Més informació respecte d’això en SANS DFIR Blog i scip AG Blog.

Recordem a més que no s’han de reutilitzar contrasenyes per a diferents serveis, i no s’han de compartir contrasenyes entre diversos usuaris.

Notes:

Windows Security Blog

McAfee Knowledge Center

McAfee Labs

GitHub Gists: Petya Ransomware

Cisco Talos Intelligence Blog

SANS ISC Diary

Bleeping Computer

PaloAlto Research Center Blog

BitDefender Labs

Font: CSIRT-CV

CSIRT-CV