El modus operandi de Petya Ransomware / Wiper es vino viejo en una botella nueva

El Petya Ransomware / Wiper ha estado creando estragos en Europa, y se vio por primera vez una infección en Ucrania cuando más de 12,500 máquinas se vieron comprometidas. La peor parte fue que las infecciones también se habían extendido a Bélgica, Brasil, India y también a los Estados Unidos. El Petya tiene capacidades de gusano que le permitirán extenderse lateralmente a través de la red. Microsoft ha publicado una guía sobre cómo se enfrentará a Petya,

Petya Ransomware / Wiper

Después de la propagación de la infección inicial, Microsoft ahora tiene evidencia de que algunas de las infecciones activas del ransomware se observaron por primera vez desde la legítima Proceso de actualización de MEDOC. Esto lo convirtió en un caso claro de ataques a la cadena de suministro de software que se ha vuelto bastante común con los atacantes, ya que necesita una defensa de muy alto nivel.

La siguiente imagen muestra cómo el proceso Evit.exe del MEDoc ejecutó el siguiente comando line, La policía cibernética de Ucrania también mencionó un vector similarmente interesante en la lista pública de indicadores de compromiso. Dicho esto, Petya es capaz de

• Robar credenciales y hacer uso de las sesiones activas
• Transferencia de archivos maliciosos en máquinas mediante el uso de servicios de intercambio de archivos
• Abuso de vulnerabilidades SMB en un caso de máquinas sin parches.

Mecanismo de movimiento lateral que usa robo de credenciales y suplantación sucede

Todo comienza cuando Petya deja caer una herramienta de descarga de credenciales, y esto viene en variantes de 32 bits y de 64 bits. Dado que los usuarios generalmente inician sesión con varias cuentas locales, siempre existe la posibilidad de que una de las sesiones activas se abra en varias máquinas. Las credenciales robadas ayudarán a Petya a obtener un nivel básico de acceso.

Una vez hecho, Petya escanea la red local para buscar conexiones válidas en los puertos tcp / 139 y tcp / 445. Luego, en el siguiente paso, llama a la subred y para cada usuario de la subred, tcp / 139 y tcp / 445. Después de obtener una respuesta, el malware copiará el binario en la máquina remota haciendo uso de la función de transferencia de archivos y las credenciales que antes había logrado robar.

El psexex.exe es eliminado por el Ransomware de un recurso incrustado. En el siguiente paso, escanea la red local para $ shares de administrador y luego se replica en la red. Además del vertimiento de credenciales, el malware también intenta robar sus credenciales haciendo uso de la función CredEnumerateW para obtener todas las demás credenciales de usuario del almacén de credenciales.

Cifrado

El malware decide encriptar el sistema según el nivel de privilegio del proceso de malware, y esto se hace mediante el uso de un algoritmo hash basado en XOR que comprueba contra los valores hash y lo utiliza como una exclusión de comportamiento.

En el siguiente paso, el Ransomware escribe en el registro de inicio maestro y luego establece el sistema para reiniciar. Además, también utiliza la funcionalidad de tareas programadas para apagar la máquina después de 10 minutos. Ahora Petya muestra un mensaje de error falso seguido de un mensaje de rescate real como se muestra a continuación.

El Ransomware intentará encriptar todos los archivos con diferentes extensiones en todas las unidades, excepto en C: Windows. La clave AES generada es por unidad fija, y esto se exporta y utiliza la clave pública RSA de 2048 bits incrustada del atacante, dice Microsoft.