Nuevo ransomware con viejas técnicas: Petya agrega capacidades de gusano


El 27 de junio de 2017, informes sobre una infección de ransomware comenzaron a circular por toda Europa. Las primeras infecciones se detectaron en Ucrania, donde más de 12,500 máquinas enfrentaron la amenaza. Luego se observaron infecciones en otros 64 países, incluyendo Alemania, Bélgica, Brasil, Estados Unidos y Rusia.

El nuevo ransomware posee capacidades de gusano que le permiten moverse lateralmente en las redes infectadas. De acuerdo con nuestras investigaciones, este nuevo ransomware comparte códigos similares y es una nueva variante de Ransom:Win32/Petya. Sin embargo, esta nueva cepa de ransomware es más sofisticada.

Para proteger a nuestros clientes, enviamos actualizaciones de seguridad a través de la nube y, momentos después, realizamos actualizaciones a nuestros paquetes de definición de firmas. Dichas actualizaciones se aplicaron automáticamente a todos los productos antimalware gratuitos de Microsoft, incluyendo Windows Defender Antivirus y Microsoft Security Essentials. Los usuarios pueden descargar la versión más reciente de esos archivos manualmente en el Malware Protection Center.

Windows Defender Advanced Threat Protection (Windows Defender ATP) detecta de manera automática las técnicas utilizadas por esta nueva variante de ransomware incluso sin las actualizaciones.

Envío e instalación

La primera infección parece consistir en una amenaza a la cadena de suministro de software de la compañía ucraniana M.E.Doc, desarrolladora del software de contabilidad fiscal MEDoc. Aunque este vector fue producto de amplia especulación por parte de los medios de comunicación y los investigadores de seguridad —incluida la propia Policía Cibernética de Ucrania— sólo hubo pruebas circunstanciales para demostrarlo. Microsoft ahora tiene pruebas de que sólo unas cuantas infecciones activas del ransomware se originaron en el proceso legítimo de actualización de MEDoc. Como lo destacamos en el pasado, los ataques a la cadena de suministro de software se han convertido en una peligrosa tendencia entre los atacantes y requieren una defensa avanzada.

Observamos una telemetría que muestra el proceso de actualización del software MEDoc (EzVit.exe) ejecutando una línea de comando dañina idéntica al patrón de ataque del martes, 27 de junio, cerca de las 10:30 a.m. GMT (hora media de Greenwich.

La cadena de ejecución que condujo a la instalación del ransomware se muestra en el diagrama de abajo y confirma que el proceso EzVit.exe de MEDoc en algún momento ejecutó, por razones desconocidas, la siguiente línea de comando:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

El mismo vector de actualización lo mencionó también la Policía Cibernética de Ucrania en una lista pública de indicadores de compromiso (IOC, por sus siglas en inglés) que incluye al actualizador MEDoc.

Un solo ransomware con varias técnicas de movimiento lateral

Dadas las capacidades de movimiento lateral de este nuevo ransomware, basta con infectar una sola máquina para afectar toda la red. La función de propagación del ransomware está compuesta por varios métodos responsables de:

  • robar credenciales o volver a utilizar sesiones activas existentes
  • utilizar intercambios de archivos para trasladar el archivo dañino a las máquinas en la misma red
  • utilizar las funciones legítimas existentes para ejecutar la carga útil o explotar las vulnerabilidades de Server Message Block (SMB) en las máquinas sin parches

En las siguientes secciones explicaremos a detalle cada una de las técnicas.

Movimiento lateral mediante el robo de credenciales y la suplantación de identidad

Este ransomware instala una herramienta de volcado de credenciales (por lo general como archivo .tmp en la carpeta %Temp%) que comparte código similar con Mimikatz y que viene en variantes de 32 y 64 bits. Debido a que los usuarios con frecuencia inician sesión a través de cuentas con privilegios de administrador y mantienen sesiones activas abiertas en varias máquinas, las credenciales robadas pueden proporcionar el mismo nivel de acceso que el usuario tiene en otras máquinas.

Una vez que el ransomware adquiere credenciales válidas, escanea la red local para establecer conexiones válidas en los puertos tcp/139 y tcp/445. Una técnica especial se reserva para los controladores de dominios o servidores: este ransomware intenta invocar DhcpEnumSubnets() para enumerar las subredes DCP alojadas en todas las subredes DHCP antes de escanear en busca de los servicios tcp/139 y tcp/445. Si obtiene respuesta, el malware intenta copiar un binario en la máquina remota utilizando funciones normales de transferencia de archivos con las credenciales robadas.

Luego, intenta ejecutar de manera remota el malware utilizando las herramientas PSEXEC o WMIC.

El ransomware intenta instalar el psexec.exe legítimo (al cual generalmente se le cambia el nombre a dllhost.dat) desde un recurso integrado en el malware. Luego escanea la red local en busca de intercambios admin$, se reproduce en la red y ejecuta remotamente el binario del malware recién copiado utilizando PSEXEC.

Además del volcado de credenciales, el malware intenta robar credenciales a través de la función CredEnumerateW y obtener acceso a todas las demás credenciales de usuario, que posiblemente se encuentran almacenadas en la tienda de credenciales. Si el nombre de una credencial empieza con “TERMSRV/” y el tipo está configurado en 1 (genérico), utiliza esa credencial para propagarse por toda la red.

El código del ransomware responsable de acceder a los intercambios \\Admin$ en diferentes máquinas.

Este ransomware también utiliza Windows Management Instrumentation Command-line (WMIC) para encontrar intercambios remotos (utilizando NetEnum/NetAdd) hacia los cuales propagarse. Utiliza ya sea una credencial duplicada del usuario actual (para las conexiones existentes) o una combinación de nombre de usuario y contraseña (para propagarse a través de herramientas legítimas).

Imagen que muestra la introducción del malware en una máquina remota utilizando WMIC.

Movimiento lateral a través de EternalBlue y EternalRomance

El nuevo ransomware también se puede propagar al explotar la vulnerabilidad CVE-2017-0144 (también conocida como EternalBlue) en SMB, la cual se corrigió en la actualización de seguridad MS17-010 y fue explotada también por WannaCrypt para propagarse hacia máquinas sin actualizar. Asimismo, este ransomware utiliza una segunda explotación de la vulnerabilidad CVE-2017-0145 (también conocida como EternalRomance y corregida en la misma actualización de seguridad).

Hemos observado que este ransomware intenta utilizar esas explotaciones mediante la generación de paquetes SMBv1 (los cuales todos están cifrados con XOR 0xCC) para desencadenar esas vulnerabilidades en la siguiente dirección del código del malware:

Esas dos explotaciones las filtró un grupo llamado Shadow Brokers. Sin embargo, cabe señalar que Microsoft corrigió ambas vulnerabilidades en la actualización de seguridad MS17-010 el 14 de marzo de 2017.

Las máquinas que están protegidas contra esas explotaciones (con la actualización de seguridad MS17-010) o que han desactivado SMBv1 no se ven afectadas por este mecanismo específico de propagación. Por favor, consulte nuestro blog anterior para más información sobre estas explotaciones y cómo las mitigaciones modernas de Windows 10 pueden ayudar a contener amenazas similares.

Cifrado

El comportamiento del cifrado de este ransomware depende del nivel de privilegio del proceso del malware y de los procesos que se encuentren activos en la máquina. El método consiste en emplear un simple algoritmo de autenticación basado en XOR en los nombres de los procesos y cotejarlo con los siguientes valores de autenticación para utilizarlo como una exclusión de comportamiento:

  • 0x2E214B44 – si un proceso con este nombre autenticado se encuentra activo en la máquina, entonces el ransomware no infecta el registro de arranque maestro (MBR, por sus siglas en inglés)

  • 0x6403527E o 0x651B3005 – si estos algoritmos de nombres de procesos se detectan, el ransomware no realiza ninguna acción relacionada con la red (como intentar explotar la vulnerabilidad SMBv1)

Este ransomware entonces escribe en el MBR y configura el sistema para que reinicie. Define tareas programadas para apagar la máquina al menos 10 minutos después de la hora actual. La hora exacta es aleatoria (GetTickCount()). Por ejemplo:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Después de modificar con éxito el MBR, aparece el siguiente mensaje de sistema falso, que indica un supuesto error en el disco duro y muestra una revisión de integridad falsa:

Luego muestra esta nota de rescate:

Sólo si el malware se ejecuta con el nivel más alto de privilegio (por ejemplo, con SeDebugPrivilege habilitado) intenta sobrescribir el código del MBR.

Este ransomware intenta cifrar todos los archivos con las siguientes extensiones de nombre de archivo en todos los discos fijos, excepto C:\Windows:

.3ds .7z .accdb .ai
.asp .aspx .avhd .back
.bak .c .cfg .conf
.cpp .cs .ctl .dbf
.disk .djvu .doc .docx
.dwg .eml .fdb .gz
.h .hdd .kdbx .mail
.mdb .msg .nrg .ora
.ost .ova .ovf .pdf
.php .pmf .ppt .pptx
.pst .pvi .py .pyc
.rar .rtf .sln .sql
.tar .vbox .vbs .vcb
.vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv
.work .xls .xlsx .xvd
.zip

Utiliza APIs de mapeo de archivos en lugar de APIs ReadFile()/WriteFile() normales:

A diferencia de la mayoría de los demás ransomware, esta amenaza no anexa una nueva extensión de nombre de archivo para cifrar los archivos, sino que sobrescribe dichos archivos.

La clave AES para el cifrado se genera máquina por máquina y se exporta y cifra utilizando la clave pública RSA de 800 bits del atacante.

Clave pública RSA integrada.

El código exporta la clave AES de 128 bits máquina por máquina y la cifra utilizando la clave pública RSA integrada durante la exportación.

La clave única utilizada para el cifrado de archivos (AES) se agrega en forma cifrada al archivo README.TXT que la amenaza escribe en la sección “Your personal installation key:” (Tu clave de instalación personal:).

Además de cifrar los archivos, este ransomware intenta sobrescribir el MBR y el primer sector del VBR. Si el malware se ejecuta con el privilegio SeShutdownPrivilege o SeDebugPrivilege o SeTcbPrivilege, sobrescribe el MBR de la máquina de la víctima y accede directamente al drive0 \\\\.\\PhysicalDrive0, tal como se describe en las siguientes imágenes del código:

 

Tras concluir su rutina de cifrado, el ransomware instala un archivo de texto llamado README.TXT con el siguiente texto:

Este ransomware también vacía los registros de eventos de Sistema, Configuración, Seguridad y Aplicaciones y elimina la información del sistema de archivos NTFS.

Detección e investigación con Windows Defender Advanced Threat Protection

Windows Defender Advanced Threat Protection (Windows Defender ATP) es una solución que se aplica después de una amenaza y permite detectar este ataque en específico sin la necesidad de actualizar las firmas. Los sensores de Windows Defender ATP constantemente supervisan y recopilan telemetría de las terminales y utilizan el aprendizaje automático para detectar las herramientas y técnicas de movimiento lateral comunes de este ransomware, incluyendo, por ejemplo, la ejecución de PsExec.exe con un nombre de archivo diferente y la creación del archivo perfc.dat en las rutas de intercambios remotos (UNC).

Hoy en día, sin la necesidad de actualizaciones adicionales, una máquina infectada puede verse así:

La segunda alerta se dirige a la distribución del archivo .dll del ransomware en la red. Este evento proporcionó información útil durante la investigación, ya que incluye el contexto de Usuario que se utilizó para mover el archivo en forma remota. Este usuario se ha visto comprometido y podría ser el primero en haberse infectado:

Con Windows Defender ATP, los clientes empresariales están bien equipados para identificar rápidamente los brotes de Petya, investigar el alcance del ataque y responder al momento a través de campañas de alerta de malware.

Protección contra el actual ataque de ransomware

Mantener actualizado Windows 10 les brinda el beneficio de contar con las funciones y mitigaciones proactivas más recientes integradas en las nuevas versiones de Windows. En Creators Update, fortalecimos aún más Windows 10 contra los ataques de ransomware mediante la incorporación de tecnologías de próxima generación y la optimización de las tecnologías existentes.

Para brindar una capa de protección adicional, Windows 10 S sólo permite ejecutar aplicaciones que provengan de Windows Store. Los usuarios de Windows 10 S están todavía más protegidos contra esta amenaza.

Recomendamos a los clientes que aún no han instalado la actualización de seguridad MS17-010 que lo hagan lo antes posible. En caso de no poder aplicar el parche de inmediato, sugerimos dos posibles alternativas para reducir la superficie de ataque:

Debido a que la amenaza está dirigida a los puertos 139 y 445, sus clientes pueden bloquear el tráfico en esos puertos para evitar la propagación ya sea hacia o desde las máquinas en su red. También se puede deshabilitar el WMI remoto y el intercambio de archivos. Estas medidas pueden afectar de manera significativa la capacidad de su red, pero se aplicarían por un periodo de tiempo muy corto mientras evalúa el impacto e instala las actualizaciones.

Windows Defender Antivirus detecta esta amenaza como Ransom:Win32/Petya a partir de la actualización 1.247.197.0. Windows Defender Antivirus utiliza protección basada en la nube, que ayuda a proteger las máquinas contra las amenazas más recientes.

Las empresas pueden utilizar Device Guard para bloquear los dispositivos y proporcionar seguridad a nivel de kernel basada en virtualización, con lo cual sólo se ejecutarían las aplicaciones confiables y se evitaría la instalación del malware.

Monitoree las redes con Windows Defender Advanced Threat Protection, ya que alerta a los equipos de operaciones de seguridad sobre actividades sospechosas. Descargue el siguiente manual para ver cómo puede utilizar Windows Defender ATP para detectar, investigar y mitigar el ransomware en las redes: Windows Defender Advanced Threat Protection – Ransomware response playbook.

Recursos

Protección de próxima generación contra ransomware con Windows 10 Creators Update: https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense/

Descargue las actualizaciones de seguridad en inglés: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Descargue las actualizaciones de seguridad en su idioma: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Actualización de seguridad MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Información general sobre el ransomware: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

Indicadores de Compromiso

Los responsables de la protección de la red pueden buscar los siguientes indicadores:

Indicadores de archivo

  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
  • 9717cfdc2d023812dbc84a941674eb23a2a8ef06
  • 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
  • 56c03d8e43f50568741704aee482704a4f5005ad

Líneas de comando

En los ambientes donde esté disponible el registro de las líneas de comando, se pueden buscar las siguientes líneas de comando:

  • Tarea programada de reinicio: Petya programa un reinicio en tiempos aleatorios de 10 a 60 minutos a partir de la hora actual
    • schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST <time>
    • cmd.exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST <time>

Esto se puede detectar al buscar EventId 106 (Registro General de Tareas), que captura las tareas registradas en el servicio de Programación de Tareas.

  • Movimiento lateral (WMI remoto)
    • “process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\” #1”

Indicadores de red

En los ambientes donde estén disponibles los datos NetFlow, esta técnica de escaneo de subred del ransomware se puede observar al buscar lo siguiente:

  • Las estaciones de trabajo que escaneen los puertos tcp/139 y tcp/445 en su ambiente de red local (/24)
  • Los servidores (en particular los controladores de dominios) que escaneen los puertos tcp/139 y tcp/445 en múltiples ambientes /24

 

Comments (0)

Skip to main content