Cabecera-v2-web.jpg

Petya y sus múltiples mecanismos de propagación


El dí­a de ayer se ha observado un aumento de casos de infección de una nueva variante del ransomware Petya, que ha afectado a personas y empresas de varios paí­ses y que ha captado la atención de todo el mundo. Petya es una familia de ransomware que, a diferencia de la mayorí­a de los ransomware recientes, cifra la tabla maestra de archivos del disco duro, dejando el registro de arranque principal (MBR - Master Boot Record) inoperable. Habí­amos publicado un artí­culo sobre esta variante, sus caracterí­sticas técnicas así­ como también medidas de protección.

Sin embargo, con el avance de las investigaciones se han descubierto detalles adicionales. Un hecho llamativo y a su vez preocupante es que esta variante cuenta con varios mecanismos de propagación: no solo se explotan vulnerabilidades conocidas de SMB, sino que también se utilizan técnicas de robo de contraseña y/o reutilización de sesiones activas, junto con herramientas de administración como PsExec y WMIC para propagarse a otras máquinas de la red. De esta manera, puede infectar incluso aquellas que se encuentran actualizadas.

En cuanto al vector de ataque inicial se han reportado múltiples vectores iniciales, entre ellos, correos electrónicos con un enlace, sitios web comprometidos (watering-hole) y un servicio de actualización de un software especí­fico (M.E.Doc) comprometido, previamente. En este último caso, los equipos que tení­an instalados este software, se ejecutaba su proceso de actualización, descargan y ejecutando el ransomware. Todaví­a se están investigando los detalles de este vector de ataque inicial que fue observado, principalmente, en Ukrania.


Cuando el ransomware infecta inicialmente el equipo, realiza varias acciones a modo de preparar el cifrado de los archivos, entre ellas el movimiento lateral a otras máquinas y la modificación del MBR, previo al reinicio. Recién luego de completar estas acciones, el ransomware fuerza el reinicio del ordenador, al menos 10 minutos después de su ejecución inicial (el tiempo es aleatorio). En este momento, nos mostrará un mensaje falso de CHKDSK. Durante esta fase, los archivos todaví­a no están cifrados, por lo que si la ví­ctima reacciona a tiempo y apaga el equipo antes de que el ransomware finalice esta etapa, podrá recuperar los archivos, por ejemplo, arrancando el equipo con un LiveCD.


Luego de completar esta fase, sin embargo, los archivos y la MFT se encuentran cifrados, y se despliega la nota, en la que se exige un rescate de 300USD en Bitcoins y se indican las instrucciones especí­ficas para el pago.

Esta nueva información hace que el nivel de riesgo aumente significativamente: ya no es suficiente con que las máquinas estén actualizadas, ya que una sola máquina infectada podrí­a propagar el ransomware a través de mecanismos similares a los conocidos ataques de Pass-the-Hash y similares. Estos ataques no son nuevos y son, por lo general, utilizados en APTs y ataques dirigidos, sin embargo, el grado de automatización de estas técnicas incorporadas en un ransomware son un hecho nuevo, llamativo y preocupante. El principal problema es que estas técnicas no se deben a vulnerabilidades especí­ficas en un código o en una configuración concreta, sino en el diseño y modelado de la gran mayorí­a de las redes corporativas basadas en Windows.

Por otra parte, la posibilidad de interrumpir la ejecución del malware en la fase del falso mensaje de CHKDSK permite a muchos usuarios reaccionar a tiempo y prevenir la pérdida de sus archivos. Sin embargo, es fundamental tomar en cuenta las recomendaciones de prevención de forma integral y permanente, de modo a prevenir este y otro tipo de amenazas similares.


Información adicional:

http://www.cert.gov.py/index.php/download_file/vie...




pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11