Alerta nº 07/2017 – Ataques de Ransomware Bad Rabbit

Descrição do Problema

Recebemos relatórios de infecções de ransomware, conhecidos como Bad Rabbit, em alguns países. Aparentando ser variante de Petya, Bad Rabbit é um software malicioso ransomware que infecta um computador e restringe o acesso do usuário à máquina infectada até que um resgate seja pago para desbloqueá-lo.

Sempre desencorajamos o pagamento do resgate, pois não garante a restauração do acesso. O uso de software sem as atualizações de segurança e sem suporte aumenta o risco de proliferação de ameaças, como ataques de ransomware à segurança da informação.

O CTIR Gov RECOMENDA a revisão de seus alertas nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing, nº 02/2017 – Ataques de Ransomware Wanna Decryptor, e nº 04/2017 – Ataques de Ransomware Petrwrap/Petya, disponíveis em www.ctir.gov.br, e que descrevem os recentes eventos de ransomware.

Notifique os incidentes do Ransomware no endereço ctir@ctir.gov.br. O CTIR Gov fornecerá informações atualizadas à medida que elas se tornem disponíveis.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de
métodos online, tipo “Bitcoins”.

Métodos de Ataques

Com base em análises realizadas, o Bad Rabbit se espalha para outros computadores na rede, tirando cópias de si mesmo na rede usando seu nome original e executando as cópias descartadas usando o Windows Management Instrumentation (WMI) e o Service Control Manager Remote Protocol. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de força bruta para levantamento das credenciais.

Entre as ferramentas Bad Rabbit incorporadas, se encontra o utilitário de código aberto Mimikatz, para a extração de credenciais. Também existem evidências dele usando o DiskCryptor, uma ferramenta legítima de criptografia de disco, para criptografar os sistemas de destino.

É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou o EternalBlue como parte de sua rotina.

Sugestões para Mitigação do Problema

  • Mesmo não sendo comprovado o uso de vulnerabilidades, até o momento, mantenha seus sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de e-mail atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e 
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_02_RansomwareWNCRY.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_04_RansomwarePetrwrap.pdf
  • http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreadsvia-network-hits-ukraine-russia/
  • https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-InfectionsReported

 

Fonte

Tudo o que você precisa saber sobre o ransomware Petya

Um novo tipo do ransomware Petya começou a se propagar em 27 de junho de 2017, infectando muitas organizações.

Figura 1. Top 20 países com base em números de organizações afetadas

Semelhante ao WannaCry, o Petya usa o recurso Eternal Blue como um dos meios para propagar-se. No entanto, ele também usa técnicas clássicas de disseminação em rede pelo SMB, o que significa que pode se espalhar dentro das organizações, mesmo que eles tenham feito correções contra o Eternal Blue.

Vetor de infecção inicial

A Symantec confirmou que o MEDoc, um pacote de software de imposto e contabilidade, é usado para a inserção inicial do Petya em redes corporativas. O MEDoc é amplamente utilizado na Ucrânia, indicando que as organizações desse país eram o principal alvo.

Depois de obter uma posição inicial, Petya usa uma variedade de métodos para se espalhar por redes corporativas.

Propagação e movimento lateral

Petya é um worm, o que significa que tem a capacidade de se auto-propagar. Ele faz isso criando uma lista de computadores alvo e usando dois métodos para se espalhar para esses computadores.

Endereço IP e coleta de credenciais

O Petya cria uma lista de endereços IP para se espalhar, que inclui principalmente endereços na rede de área local (LAN), mas também IPs remotos. A lista completa é construída da seguinte forma:

  • Todos os endereços IP e servidores DHCP de todos os adaptadores de rede;
  • Todos os clientes DHCP do servidor DHCP se as portas 445/139 estiverem abertas;
  • Todos os endereços IP dentro da sub-rede conforme definido pela máscara de sub-rede se as portas 445/139 estiverem abertas;
  • Todos os computadores que você possui uma conexão aberta com a rede;
  • Todos os computadores no cache ARP;
  • Todos os recursos no Active Directory;
  • Todos os recursos do servidor e da estação de trabalho na vizinhança de rede;
  • Todos os recursos no Windows Credential Manager (incluindo computadores do Remote Desktop Terminal Services).

Uma vez que a lista de computadores alvo foi identificada, a Petya cria uma lista de nomes de usuários e senhas que pode usar para se espalhar para esses destinos. A lista de nomes de usuário e senhas é armazenada na memória. Ele usa dois métodos para coletar credenciais:

  • Reúne nomes de usuário e senhas do Windows Credential Manager;
  • Goteia e executa um dumper de credencial de 32 ou 64 bits.

Movimento lateral (aborda a leitura e pentest dos hosts lateralmente)

Petya usa dois métodos principais para se espalhar por redes:

  • Execução através de compartilhamentos de rede: ele tenta se espalhar para os computadores alvo copiando-se para [COMPUTER NAME] \\ admin $ usando as credenciais adquiridas. Em seguida, ele é executado remotamente usando PsExec ou a ferramenta Windows Management Instrumentation Command Line (WMIC). Ambas são ferramentas legítimas;
  • Exploração do SMB: tenta espalhar-se usando variações das façanhas EternalBlue e EternalRomance.

O Petya verifica a presença dos seguintes processos que são utilizados pelos produtos Norton e Symantec Endpoint Protection:

  • Ns.exe;
  • Ccsvchost.exe.

Se encontrado, Petya não usará as façanhas EternalBlue e EternalRomance para se espalhar.

Infecção inicial e instalação

O Petya foi executado inicialmente através do rundll32.exe usando o seguinte comando:

Rundll32.exe perfc.dat, #1

Uma vez que a DLL foi carregada, primeiro tentará se remover do sistema infectado. Isso é feito abrindo o arquivo e substituindo seu conteúdo por bytes nulos antes de finalmente excluir o arquivo do disco. Substituir o arquivo por bytes nulos é usado como uma tentativa de frustrar a recuperação do arquivo usando técnicas forenses.

Em seguida, tenta criar o seguinte arquivo para ser usado como uma flag indicando que o computador foi infectado:

C:\Windows\perfc

Infecção e criptografia MBR

Uma vez instalado, o Petya prossegue para modificar a gravação mestre de inicialização (MBR). Isso permite que ele sequestre o processo de carregamento normal do computador infectado durante a próxima de reinicialização do sistema. O MBR modificado é usado para criptografar o disco rígido enquanto simula uma tela CHKDSK. Em seguida, exibe uma nota de resgate para o usuário.

A modificação do MBR não é bem sucedida se a ameaça for executada como um usuário normal, mas a ameaça ainda tentará se espalhar pela rede

Neste ponto, uma reinicialização do sistema é agendada usando o seguinte comando:

"/C at 00:49 C:\Windows\system32\shutdown.exe /r /f"

Ao programar e não forçar uma reinicialização, ele fornece tempo para permitir que o Petya se espalhe para outros computadores na rede antes que a criptografia do modo usuário ocorra.

Encriptação de arquivos

O Petya realiza criptografia de duas formas:

  • Depois que o Petya se espalhou para outros computadores, a criptografia do modo usuário ocorre onde os arquivos com uma extensão específica são criptografados no disco.
  • O MBR é modificado para adicionar um carregador personalizado que é usado para carregar um simulador CHKDSK. Este simulador é usado para ocultar o fato de que a criptografia de disco está ocorrendo. Isso é feito após a criptografia do modo usuário ocorrer e, portanto, a criptografia é dupla: modo usuário e disco completo.

Criptografia de modo de usuário

Uma vez que a propagação ocorreu, o Petya, em seguida, lista todos os arquivos em qualquer unidade fixa (por exemplo, C:\) e verifica qualquer uma das seguintes extensões de arquivo (ignorando o diretório %Windir% dessa unidade):

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox. Vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Se alguma das extensões de arquivo corresponder à da lista de arquivos, a criptografia ocorre.

Wiper vs ransomware

Como mencionado, a criptografia realizada pelo Petya é dupla; Em primeiro lugar, os tipos de arquivos específicos são criptografados no modo usuário após ocorrer a propagação, a chave é criptografada com uma chave pública incorporada, Base64 codificada e anexada ao arquivo README.TXT.

Após a reinicialização do sistema ocorrer, o MBR infectado é carregado, a criptografia do disco começa e a nota do resgate é exibida para o usuário. A “chave de instalação” referenciada na nota de resgate exibida para o usuário é uma sequência gerada aleatoriamente. Uma chave Salsa20 gerada aleatoriamente é usada para criptografia de disco. Como não há relação entre a “chave de instalação” e a tecla Salsa20, o disco nunca pode ser descriptografado. Isso demonstra que Petya é mais precisamente um Wiper do que um Ransomware.

FAQs

Estou protegido do Petya Ransomware?

Os produtos Symantec Endpoint Protection (SEP) e Norton protegem proativamente os clientes contra tentativas de espalhar Petya usando o Eternal Blue. A tecnologia de detecção de comportamento SONAR também protege proativamente contra infecções de Petya.

Os produtos Symantec usando a versão de definições 20170627.009 também detectam componentes de Petya como Ransom.Petya.

O que é Petya?

Petya existe desde 2016. Difere do ransomware típico, pois não apenas criptografa arquivos, mas também sobrescreve e criptografa o registro mestre de inicialização (MBR).

Neste último ataque, a seguinte nota de resgate é exibida em computadores infectados, exigindo que US $ 300 em bitcoins sejam pagos para recuperar arquivos:

Figura 2. Nota de resgate exibida em computadores infectados com o Ransomware Petya, exigindo US $ 300 em bitcoins

Como o Petya se espalha e infecta computadores?

O software de contabilidade MEDoc é usado para liberar e instalar o Petya nas redes das organizações. Uma vez na rede, usa dois métodos para se espalhar.

Uma das formas pelas quais o Petya se propaga é explorando a vulnerabilidade MS17-010, também conhecida como EternalBlue. Também se espalha através da aquisição de nomes de usuários e senhas e propagação em compartilhamentos de rede.

Quem é afetado?

A Petya está impactando principalmente as organizações na Europa.

Isso é um ataque direcionado?

Não está claro neste momento, no entanto, o agente infector inicial é um software usado exclusivamente na Ucrânia, indicando que as organizações tinham os objetivos iniciais.

Devo pagar o resgate?

A Symantec recomenda que os usuários não paguem o resgate, particularmente porque não há evidências de que os arquivos serão restaurados.

Quais são os detalhes da proteção da Symantec?

Proteção baseada em rede

A Symantec possui a seguinte proteção IPS para proteger os clientes contra esses ataques:

Antivírus

  • Ransom.Petya
  • Ransom.Petya!g1

Tecnologia de detecção de comportamento SONAR

  • SONAR.Module!gen3

Skeptic

  • Trojan.gen

Fonte

Alerta nº 04/2017 – Ataques de Ransomware Petrwrap/Petya

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, alertas sobre ataques de Ransomware Petwrap/Petya, tendo como alvo o Leste da Europa, Rússia, Ucrânia, França, Espanha e Holanda. Esta variação de Ransomware é conhecida por Petrwrap/Petya.
O atacante explora as mesmas vulnerabilidades do Ransonware Wanacry, vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Petwrap/Petya atua de forma um pouco diferente, em vez de criptografar arquivos individualmente, nega o acesso ao sistema atacando estruturas de baixo nível no disco, criando seu próprio Kernel com 32 setores.
O Ransomware atua no Master Boot Record (MBR) carregando o Kernel malicioso e criptografando o Master File Table (MFT) tornando o sistema inacessível.
Análise do arquivo petwrap.exe:  (https://www.hybridanalysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?envir
onmentId=100).

Recomendações

Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Referências:

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-RansomwareInfections-Reported.
http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1
http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html
http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.us-cert.gov/ncas/alerts/TA17-132A#revisions
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Fonte