Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/06/2017
Aquest nou programari maliciós de rescat, que ha afectat principalment Ucraïna però també altres empreses a tot el món (inclosa Espanya), comparteix característiques amb Petya, ja que reinicia l’equip i modifica el MBR (partició d’inici del disc dur del sistema), impedeix l’accés al sistema operatiu i xifra els documents del disc dur de l’equip. A més, s’han trobat també components del programari maliciós de rescat WannaCry, ja que per a infectar els equips utilitza algunes de les vulnerabilitats utilitzades pel dit programari maliciós de rescat, com les corregides en el butlletí de Microsoft MS17-010.
Per si açò fora poc, el programari maliciós de rescat inclou en el seu codi una versió de PsExec (per a aconseguir l’execució de processos de forma remota) i una altra de Mimikatz (per a obtindre credencials dels usuaris que han iniciat sessió en el sistema), i se serveix també de WMIC (component de Windows per a la realització de tasques d’administració). Amb totes aquestes eines, i una vegada infectat un equip, intenta obtindre credencials d’usuaris amb privilegis administratius en l’organització, per a posteriorment enumerar els equips de la xarxa i replicar-se en tants com li siga possible utilitzant les credencials obtingudes. Si no ho aconsegueix, utilitza exploits com EternalBlue per a propagar-se.
Cal destacar que, si té èxit robant credencials, en la fase de propagació s’infectarien tots els equips a pesar d’estar completament apedaçats, ja que no es fa ús de cap vulnerabilitat, sinó que s’hi accedeix amb credencials legítimes.
Encara es desconeix el punt exacte d’entrada, però hi ha diversos informes que apunten al compromís del sistema d’actualització d’un programari anomenat MEDoc per a la realització de tasques de comptabilitat i pagament d’impostos i amb gran difusió a Ucraïna. Altres informes indiquen que la infecció podria vindre a través d’un correu electrònic de pesca dirigit.
S’han recopilat els següents indicadors de compromís (IoC), que es recomana monitoritzar en totes les xarxes:
Adreces IP: 84.200.16.242, 95.141.115.108, 111.90.139.247, 185.165.29.78
Dominis: coffeinoffice.xyz, french-cooking.com
User-Agent: Mozilla/4.08 (Charon; Infernal)
Aquest programari maliciós xifra arxius amb les extensions següents: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
Es poden trobar més IoC, actualitzats periòdicament, en aquesta pàgina de GitHub, i firmes de Snort/Suricata per a detectar l’execució del programari maliciós de rescat ací.
En la secció de notes s’inclouen diversos informes relatius a aquest atac publicats en les últimes hores
Sistemes Afectats:Poden estar potencialment afectats tots els equips Windows, amb qualsevol versió i qualsevol nivell d’apedaçament.
Referències:None
Solució:Es recomana:
Actualitzar tots els equips Windows completament, especialment l’actualització MS17-010 per a evitar la via d’entrada d’aquest programari maliciós de rescat.
Controlar, i bloquejar si és possible, els ports 139/tcp i 445/tcp, ja que són els que s’utilitzen en la fase de propagació.
Extremar la precaució en obrir els correus electrònics, i no executar cap fitxer si no s’està completament segur que el remitent i el contingut del correu són lícits.
Restringir al mínim necessari l’ús de comptes especials d’administració per a, en el cas d’infecció, limitar la propagació del programari maliciós de rescat en la mesura que siga possible.
Si és necessari utilitzar els dits comptes administratius, reiniciar els equips d’usuari després de la realització de les dites tasques d’administració en aquests, per a evitar que es mantinguen escorcollades les contrasenyes d’administració en els dits equips i dificultar així el robatori.
Pel que fa a l’ús de credencials d’administració en l’organització, una altra opció possible seria iniciar sessió amb el mode "Restricted Admin Reme’t Desktop", amb el qual no s’envien les credencials a l’equip client, i evitar així que es puguen robar d’un equip compromés. Més informació respecte d’això en SANS DFIR Blog i scip AG Blog.
Recordem a més que no s’han de reutilitzar contrasenyes per a diferents serveis, i no s’han de compartir contrasenyes entre diversos usuaris.
Notes:GitHub Gists: Petya Ransomware