Ransomware Petya / Petwrap afecta infraestructura a nivel mundial

DESCRIPCIÓN

Un nuevo ransomware ha hecho su aparición el día de hoy afectando diversos países a nivel mundial como: Ucrania, Polonia, Italia, Alemania, Rusia, España, Holanda, Francia, India, Dinamarca y Reino Unido; el continúa extendiéndose a otros países rápidamente. De manera inicial se pensó que se trataba de una nueva variante del malware ‘Petya’ por lo que se nombró de esta manera, sin embargo, otros análisis indican que podría no tratarse de una variante del malware en cuestión. A la fecha se han identificado afectaciones a organizaciones bancarias, aeropuertos, distribuidoras de energía, petroleras, acereras, comercios, farmacéuticas, a los cuales se les exige un pago de $300 USD en bitcoins para recuperar la clave de cifrado.

‘Petya’ o ‘Petwrap’ es una ransomware que cifra distintos componentes de los equipos comprometidos, resultando novedoso el hecho de que, además de cifrar los archivos de los usuarios, hace lo mismo con los elementos utilizados para el correcto inicio del sistema. Este ransomware utiliza el mismo vector de propagación que WannaCry, aprovechándose de la vulnerabilidad MS17-010 (Eternalblue). Sin embargo, Petya utiliza otros mecanismos de propagación, entre los que se ha identificado el uso de las utilerías “psexec” y WMIC que permiten ejecutar comandos de manera remota. Para el uso de dicha herramienta es necesario contar con credenciales válidas, mismas que son obtenidas de los equipos comprometidos. Hasta el momento se desconoce la manera en la que Petya llega a los equipos de manera inicial – paciente cero -, pero una de las posibilidades planteadas es que lo hace como un documento de office adjunto a un correo electrónico, mismo que aprovecha la vulnerabilidad identificada con el CVE-2017-0199.

NIVEL DE RIESGO

Crítico
MS17-10, CVSS v2 9.3
CVE-2017-0199, CVSS v2 9.3

SISTEMA | TECNOLOGÍAS AFECTADAS
    • MS17-10 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148)
      • Microsoft Windows XP
      • Microsoft Windows Vista SP2
      • Microsoft Windows Server 2008 R2 SP1 y SP2
      • Microsoft Windows 7 SP1
      • Microsoft Windows 8.1
      • Microsoft Windows RT 8.1
      • Microsoft Windows Server 2012 R2
      • Microsoft Windows 10
      • Microsoft Windows Server 2016
    • CVE-2017-0199
      • Microsoft Office 2007 SP3
      • Microsoft Office 2010 SP2
      • Microsoft Office 2013 SP1
      • Microsoft Office 2016
      • Microsoft Windows Vista SP2
      • Windows Server 2008 SP2
      • Windows 7 SP1
      • Windows 8.1
MEDIDAS DE ERRADICACIÓN
MEDIDAS DE MITIGACIÓN Y CONTENCIÓN
    • Verificar la existencia de servicios SMB expuestos a Internet y en caso de existir alguno inhabilitarlo o en su caso realizar los cambios pertinentes en lo equipos de seguridad perimetrales como:
      • Aplicación de reglas en los firewalls perimetrales para la restricción al servicio SMB.
      • Habilitar las firmas disponibles en dispositivos IPS.
    • Realizar un escaneo para la identificación de sus servicios vulnerables.
    • Se recomienda que los sistemas operativos sin soporte sean aislados de la red o incluso sean apagados, de acuerdo con la evaluación del riesgo.
    • Habilitar un firewall de host para la restricción del servicio SMB.
    • Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes.
    • En caso de que no se puedan aplicar los parches de seguridad de manera inmediata en los equipos se recomienda inhabilitar el servicio SMB.
    • Actualizar los sistemas operativos de Microsoft Windows a las versiones más recientes.
    • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables.
    • Inhabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
    • Utilizar una solución antivirus que ayude a mitigar la posibilidad de infección.
    • Dar aviso a los usuarios y colaboradores dentro de su organización de esta amenaza, haciendo énfasis en no ejecutar archivos de procedencia sospechosa.
    • Concientizar a los usuarios respecto a nunca presionar sobre link en archivos adjuntos, ventanas emergentes o links de origen desconocido o incierto.
    • Realizar respaldos de información de forma regular.

Indicadores de compromiso

  • Nombres de archivos relacionados con Petya/Petwrap
    • order-20062017.doc
    • myguy.xls
    • BCA9D6.exe
    • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745.exe
    • localfile~
    • Petya 2017.exe
    • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745.bin
    • Petwrap_virus.exe.bin
    • samplespetya.exe
    • petwrap.exe
    • perfc.txt
    • petya.bin
    • Petya_[AT]_ParsingTeam.exe
    • 027cc450ef5f8c5f653329641ec1fed9
    • petwrap.virrey
    • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745_98STJd8lju.exe
    • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745_98STJd8lju.bin
    • data
    • petrcrpt.exe
    • 222068554
    • PetyaWrap.dll
    • 71b6a493388e7d0b40c83ce903bc6b04.bin
    • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a74.bin
    • aaa.bin
    • perfc.dat
    • 027cc450ef5f8c5f653329641ec1fed9.exe
  • Direcciones IP C&C
    • 185.165.29.78
    • 84.200.16.242
    • 111.90.139.247
    • 95.141.115.108
  • Extensiones de archivos comprometidas.
    • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.
  • Hash relacionados con la muestra maliciosa
    • SHA1
      • 736752744122a0b5ee4b95ddad634dd225dc0f73
      • 101CC1CB56C407D5B9149F2C3B8523350D23BA84
      • 9288FB8E96D419586FC8C595DD95353D48E8A060
    • MD5
      • 0487382a4daf8eb9660f1c67e30f8b25
      • 415FE69BF32634CA98FA07633F4118E1
      • A1D5895F85751DFE67D19CCCB51B051A
      • 736752744122a0b5ee4b95ddad634dd225dc0f73
REFERENCIAS

FIRST

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-Reported

https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html
https://otx.alienvault.com/pulse/59525e7a95270e240c055ead/
https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100
https://www.reverse.it/sample/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6?environmentId=100
https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://gist.githubusercontent.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759/raw/a5811d9371a3c07033d5c0fd23976d05cf86c8d8/Petya_ransomware.txt
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html
https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/
https://nvd.nist.gov/vuln/detail/CVE-2017-0144
https://nvd.nist.gov/vuln/detail/CVE-2017-0145
https://nvd.nist.gov/vuln/detail/CVE-2017-0146
https://nvd.nist.gov/vuln/detail/CVE-2017-0148
https://nvd.nist.gov/vuln/detail/CVE-2017-0199
http://www.elmundo.es/tecnologia/2017/06/27/595269e0ca4741fb3f8b4668.html
https://www.cnet.com/news/unprecedented-cyberattack-hits-businesses-across-europe/?ftag=COS-05-10aaa0b&linkId=39152397
https://twitter.com/HackAndDo/status/879745418086805505
https://twitter.com/peterkruse/status/879694908646412288

MNEMO CERT

Síguenos en Twitter

¿Te perdiste alguno de nuestros #WebinarsDeCiberseguridad de este 2018? Puedes ver todos los seminarios en vídeo aquí! 👇✅🎓 bit.ly/2PqiPtU

reply · retweet · favorite

CONTÁCTENOS

 
  • Paseo de la reforma 373 piso 5,CDMX, México
  • +52 (55) 3872 0238
  • cert@mnemo.com