O modus operandi do Petya Ransomware / Wiper é vinho velho em uma nova garrafa

O Petya Ransomware / Wiper vem causando estragos na Europa, e um vislumbre da infecção foi visto pela primeira vez na Ucrânia quando mais de 12.500 máquinas foram comprometidas. A pior parte foi que as infecções também se espalharam para a Bélgica, o Brasil, a Índia e também os Estados Unidos. O Petya tem capacidades de worm que permitem que ele se espalhe lateralmente pela rede. A Microsoft publicou uma diretriz sobre como atacará Petya,

Petya Ransomware / Wiper

Após a propagação da infecção inicial, a Microsoft agora tem evidências de que algumas das infecções ativas do ransomware foram observadas pela primeira vez a partir do legítimo Processo de atualização do MEDoc. Isso tornou claro o caso dos ataques da cadeia de suprimentos de software, que se tornou bastante comum entre os atacantes, pois precisa de uma defesa de nível muito alto. A figura abaixo mostra como o processo Evit.exe do MEDoc executou o seguinte comando line, Curiosamente similar vector também foi mencionado pela Ucrânia Cyber ​​Police na lista pública de indicadores de compromisso. Dito isto, o Petya é capaz de

Roubar credenciais e fazer uso das sessões ativas

• Transferindo arquivos maliciosos entre máquinas usando os serviços de compartilhamento de arquivos
• Abusando vulnerabilidades SMB em um caso de máquinas sem patches. > Mecanismo de movimentação lateral usando roubo de credencial e representação acontece
• Tudo começa com o Petya soltando uma ferramenta de despejo de credenciais, e isso vem em variantes de 32 bits e 64 bits. Como os usuários geralmente fazem login com várias contas locais, há sempre uma chance de que uma sessão ativa seja aberta em várias máquinas. As credenciais roubadas ajudarão Petya a obter um nível básico de acesso.

Uma vez concluído, o Petya varre a rede local em busca de conexões válidas nas portas tcp / 139 e tcp / 445. Em seguida, na próxima etapa, ele chama a sub-rede e, para cada usuário de sub-rede, o tcp / 139 e o tcp / 445. Depois de obter uma resposta, o malware copiará o binário na máquina remota, fazendo uso do recurso de transferência de arquivos e das credenciais que ele havia roubado anteriormente.

O psexex.exe é removido pelo Ransomware de um recurso incorporado. Na próxima etapa, ele verifica a rede local em busca de compartilhamentos admin $ e, em seguida, se replica na rede. Além do despejo de credenciais, o malware também tenta roubar suas credenciais, fazendo uso da função CredEnumerateW para obter todas as outras credenciais de usuário do armazenamento de credenciais.

Criptografia

O malware decide criptografar o sistema, dependendo da credencial. nível de privilégio de processo de malware, e isso é feito empregando um algoritmo de hash baseado em XOR que verifica os valores de hash e os usa como uma exclusão de comportamento.

Na próxima etapa, o Ransomware grava no registro mestre de inicialização e define o sistema para reiniciar. Além disso, também usa a funcionalidade de tarefas agendadas para desligar a máquina após 10 minutos. Agora, o Petya exibe uma falsa mensagem de erro, seguida de uma mensagem de resgate real, conforme mostrado abaixo.

O Ransomware tentará criptografar todos os arquivos com extensões diferentes em todas as unidades, exceto C: Windows. A chave AES gerada é por unidade fixa, e isso é exportado e usa a chave pública RSA incorporada de 2048 bits do invasor, diz a Microsoft.