Utiliza técnicas similares a Petya, una familia de ransomware que cifra el sector de arranque de la máquina afectada además de los archivos. Se inició en Ucrania y se propaga por Europa afectando a grandes empresas de distintas industrias, como bancos, red eléctrica y empresas postales, entre otras. Ya se detectan casos en Latinoamérica. Los últimos datos y recomendaciones.
De acuerdo con lo informado por Fortinet, es parte de una nueva ola de ataques multi-vector ransomware que la compañía está llamando «ransomworm«, que aprovecha las vulnerabilidades que va encontrando de forma oportuna. “Está diseñado para moverse a través de múltiples sistemas de forma automática, en lugar de permanecer en un solo lugar. Parece que el ransomworm Petya está utilizando vulnerabilidades actuales, similares a las que fueron explotadas durante el reciente ataque de Wannacry”, advierte. Asimismo, asegura que, a diferencia de ése, que encriptó los archivos de escritorio, cifra un segmento del disco duro que hace que el equipo entero se vuelva inoperable.
Camilo Gutierrez, jefe del Laboratorio de ESET Latinoamérica, en lo que refiere a la región, afirmó que el país de mayor impacto hasta el momento es Argentina.
En un informe preliminar, Talos, el equipo de investigación sobre seguridad de Cisco, está identificando esta nueva variante de malware como Nyetya. “Nuestra investigación actual nos lleva a creer que la muestra aprovecha EternalBlue y WMI para el movimiento lateral dentro de una red afectada. Este comportamiento es diferente de WannaCry, ya que no parece ser un componente de escaneado externo. Además, también puede haber un vector psexec que se utiliza para propagarse internamente”, detalla.
Entrevistado por RPP Noticias, Dmitry Bestuzhev, director del Equipo de Investigación y Análisis en Kaspersky Lab, dijo que Petya, a diferencia del Wannacry, «utiliza herramientas que extraen los credenciales, es decir, contraseñas y nombres de usuarios de la memoria de los equipos afectados y que podría utilizarlos para propagarse por la red.»
Otra diferencia según el especialista de Kaspersky, es que mientras Wannacry utilizaba únicamente la vulnerabilidad del EternalBlue, el Petya utiliza también otra llamada “Eternal Romance” el romance eterno.
Finalmente el Wanncry cifraba solo los archivos en el disco duro, pero Petya también está cifrando el registro de ataque principal del sistema; «Cuando la computadora se reinicie antes de que arranque el Windows, la víctima ve el mensaje diciéndole que sus datos están secuestrados y tiene que pagar», explicó.
Bestuzhev aseguró que esta amenaza en particular fue diseñada para atacar exclusivamente las máquinas de Microsoft Windows, y que otros sistemas operativos se encuentran inmunes. «No obstante, si cualquiera de los usuarios de estos sistemas tuvieran máquinas virtuales que estuvieran corriendo sobre Windows y esas máquinas no contaran con suficiente protección, ni siquiera con los parches, también podrían ser atacadas y el dueño se vería fuertemente», advirtió.
Para Jakub Kroustek, director del Equipo del Laboratorio de Amenazas de Avast, es posible que la modificación de Petya se propague aprovechando la vulnerabilidad EternalBlue, la misma que usó el virus WannaCry. “En el día de hoy, detectamos y bloqueamos 12 000 intentos de explotar esta vulnerabilidad por parte del malware. Datos recopilados a través del Inspector de Wi-Fi de Avast, muestra que 38 millones de las máquinas analizadas la semana pasada no instalaron las actualizaciones de seguridad y por lo tanto son vulnerables. Probablemente, la cantidad real de computadoras en riesgo sea mucho mayor”, advierte.
El especialista de Avast denunció que los creadores de Petya lo ofrecen en la red oscura con un modelo afiliado que les da a los distribuidores hasta un 85% del monto del rescate pagado, en tanto que ellos retienen el 15%. “Estos suministran toda la infraestructura, los servidores de comando y control (C&C) y el método de transferencia del dinero”, aseguró.
Instalación y ejecución
Para Talos, la identificación del vector inicial ha demostrado ser más desafiante: “Creemos que es posible que algunas infecciones puedan estar asociadas con sistemas de actualización de software para un paquete de contabilidad de impuestos ucraniano llamado MeDoc”, informa.
En esta investigación sobre esta variante de ransomware, Talos observó que los sistemas comprometidos tienen un archivo llamado «Perfc.dat» que contiene la funcionalidad necesaria para comprometer aún más el sistema y una sola función de exportación sin nombre denominada # 1. La biblioteca intenta obtener privilegios administrativos (SeShutdowPrivilege y SeDebugPrivilege) para el usuario actual a través de la API de Windows AdjustTokenPrivileges. Si tiene éxito, el ransomware sobrescribirá el registro de arranque maestro (MBR) en la unidad de disco denominada PhysicalDrive 0 dentro de Windows. Independientemente de si el malware tiene éxito en sobrescribir el MBR o no, a continuación, procederá a crear una tarea programada a través de schtasks para reiniciar el sistema una hora después de la infección.
Siguiendo con el análisis de Talos, el malware enumera todas las máquinas visibles en la red a través de NetServerEnum y luego busca un puerto TCP 139 abierto. Esto se hace para compilar una lista de dispositivos que exponen este puerto y posiblemente pueden ser susceptibles de compromiso.
El equipo de Cisco asegura que el malware tiene tres mecanismos utilizados para propagar una vez que un dispositivo está infectado: EternalBlue, Psexec (una herramienta de administración de Windows legítima) y WMI (Instrumental de administración de Windows), los cuales son utilizados para intentar la instalación y ejecución de perfc.dat en otros dispositivos para propagarse lateralmente.
Para los sistemas que no se han aplicado MS17-010, el exploit EternalBlue se aprovecha para comprometer los sistemas. Psexec se utiliza para ejecutar la siguiente instrucción (donde w.x.y.z es una dirección IP) utilizando el token de Windows del usuario actual para instalar el malware en el dispositivo en red.
C: \ WINDOWS \ dllhost.dat \\ w.x.y.z -accepteula -s -d C: \ Windows \ System32 \ rundll32.exe C: \ Windows \ perfc.dat, # 1
WMI se utiliza para ejecutar el siguiente comando que realiza la misma función que anteriormente, pero utilizando el nombre de usuario y la contraseña del usuario actual.
Wbem \ wmic.exe / node: «wxyz» / usuario: «nombre de usuario» / contraseña: «contraseña» «proceso llamada crear» C: \ Windows \ System32 \ rundll32.exe \ «C: \ Windows \ perfc.dat \» # 1 «
Una vez que un sistema se compromete con éxito, el malware cifra los archivos en el host mediante el cifrado RSA de 2048 bits. Además, el malware limpia los registros de eventos en el dispositivo comprometido mediante el siguiente comando:
Wevtutil cl Configuración & wevtutil cl Sistema & wevtutil cl Seguridad & wevtutil cl Aplicación & fsutil usn deletejournal / D% c:
De acuerdo con los últimos datos recopilados por Avast, estos son los porcentajes de los dispositivos afectados según su sistema operativo:
Recomendaciones
Desde Fortinet informaron que el parche para esta vulnerabilidad fue emitido por Microsoft a principios de este año, por lo que aconseja a las organizaciones actualizar sus sistemas inmediatamente. “El Security Fabric de Fortinet ofrece protección integral contra el ransomworm Petya a través de varios medios integrados y automatizados, incluyendo detección automática de intrusos (IPS/IDS), prevención de intrusiones (anti-virus), análisis en tiempo real de código sospechoso (FortiSandbox) e intercambio automatizado de información, aseguró.
Por su parte, Eset también recomienda actualizar los sistemas operativos y aplicaciones a la última versión disponible, no ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos, mantener actualizadas las soluciones de seguridad para poder optimizar la detección de estas amenazas, realizar backups periódicos de la información relevante, y en caso de que se trate de una empresa, dar aviso a los empleados de que estén alertas frente a esta amenaza y que no ejecuten archivos de procedencia sospechosa.
Para los clientes de Trend Micro, deben asegurarse de utilizar las últimas versiones de OfficeScan y Worry-Free. Es fundamental hacer uso tanto de la tecnología de Predictive Machine Learning como todas las tecnologías Anti-Ransomware. También actualizar todos los patrones de sus productos a la última versión disponible. El modelo «Smart Scan» versión 17356.008.96 ya detecta esta amenaza. Después de actualizar los patrones, realizar una exploración manual programada en sus dispositivos. Instalar tecnologías que blindan sus equipos contra la explotación de vulnerabilidades no corregidas: Vulnerability Protection para desktop y Deep Security para servidores. Implementar mecanismos de detección de amenazas a nivel de red. Y finalmente activar la protección anti-rasomware en los servidores.
Asimismo, Trend Micro ofrece un vínculo para obtener información en tiempo real sobre esta nueva amenaza: https://success.trendmicro.com/solution/1117665
Los clientes de Cisco están protegidos contra Nyetya a través de Advanced Malware Protection (AMP), al tiempo que los dispositivos de seguridad de red como NGFW, NGIPS y Meraki MX pueden detectar actividades maliciosas asociadas con esta amenaza. AMP Threat Grid ayuda a identificar binarios maliciosos y a crear protección en todos los productos Cisco Security.
«En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación, y tal como siempre recomendamos: en caso de ser víctima, no acceder al pago solicitado por los atacantes ya que no solo no está garantizado que vayan a devolver el acceso a los archivos, sino que esta práctica alienta a que se continúen realizando este tipo de ataques”, concluyó Gutierrez, de ESET.
