Mostrando entradas con la etiqueta Petya. Mostrar todas las entradas
Mostrando entradas con la etiqueta Petya. Mostrar todas las entradas

miércoles, 25 de octubre de 2017

BadRabbit, la nueva versión de Notpetya/Petya.

BadRabbit es un ransomware que cuenta con muchos elementos similares a NotPetya, lo que sugiere que los autores detrás del ataque sean los mismos. Sin embargo esta vez el cifrado se ha sustituido por una herramienta más avanzada para evitar los errores cometidos anteriormente. Durante el análisis nos centraremos en la DLL maliciosa. 



A diferencia de NotPetya, este malware no hace uso de EternalBlue para distribuirse. Sin embargo, de manera similar utiliza 'WMIC' para distribuir los archivos y realiza un escaneo de la red interna buscando 'SMB' compartidos, entre los que se encuentran:


Listado de shares que el BadRabbit comprueba.

 En esta ocasión contamos con un listado de credenciales empleadas para llevar a cabo ataques de diccionario sobre los dispositivos remotos, junto con un módulo basado en Mimikatz para recolectar usuarios y contraseñas. 
Listado de usuarios / passwords empleado por el ataque de diccionario.
Se puede observar también que existen directorios que no se ven afectados por el ransomware. Los directorios \\Windows, \\Program Files, \\ProgramData y \\AppData no son cifrados. 
Datos correspondientes a las extensiones, la nota de rescate y las carpetas ignoradas.

 La lista de extensiones afectadas podemos verla a continuación. 

 .3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .x ml .xvd .zip

 La mayoría de extensiones son las más comunes entre el ransomware, aunque esta vez incluye objetivos como archivos de maquinas virtuales para los distintos sistemas de virtualización además de ficheros comprimidos, documentos de Office, vídeo, código (.java, .c, .cpp, etc)
Servicio TOR al que las victimas se dirigen.


El cifrado se lleva a cabo a través de DiskCryptor, un software legítimo utilizado para hacer un cifrado completo del disco, el cual es instalado como servicio por el malware. Las claves aleatorias se generan a través de una función criptográficamente segura CryptGenRandom y luego son protegidos por una clave publica RSA 2048 harcodeada.
Clave hardcodeada empleada para proteger la clave aleatoria.

 Finalmente, la clave aleatoria es utilizada como argumento en otra herramienta encargada de hacer el cifrado del archivo:

schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR %ws /C Start \"\" \"%wsdispci.exe\" -id %u && exit"

Agregando dispci.exe a tasks.

De momento, el ataque parece dirigido a usuarios de Europa del Este por lo que los países como Rusia, Bulgaria y Ukrania se ven afectados por el ataque en su mayoría; aunque también Japón y Turquía reciben un numero elevado de infecciones. La distribución se hace a través de un javascript malicioso. 

 Este malware necesita permisos de creación de archivos en carpetas que requieren privilegios de administrador. Por tanto, si el ransomware no es ejecutado como administrador y existen unas políticas correctas en el sistema no se llegará a ejecutar con éxito. Otra manera de evitar la infección, es crear un archivo C:\perfc.dat con permisos de READ-ONLY (sólo lectura) que al estar presente provocará que el ransomware no siga realizando ninguna acción. 

Fernando Díaz
fdiaz@hispasec.com
@entdark_

Más información:


0 comentarios
Etiquetas: , , ,

jueves, 20 de julio de 2017

Disponible herramienta para descifrar Petya/GoldenEye, el ransomware de la calavera

Hagamos memoria: Petya (GoldenEye siendo una de sus variantes) es un crypto-ransomware conocido desde marzo de 2016. Recordamos que un crypto-ransomware cifra archivos del usuario y pide un rescate por descifrarlos. 
La temible pantalla que anuncia el secuestro


Técnicamente, Petya se caracteriza porque su principal forma de secuestro es cifrar la MFT (índice de archivos en disco), en vez de cifrar los archivos uno a uno como habitualmente (algunas versiones de Petya también tienen esta opción). Curiosamente, más que ser conocido por la versión del autor original, es más famoso por EternalPetya, una versión pirateada (sí, se piratea malware) que afectó principalmente a Ucrania. Tuvo bastante más tirón mediático porque se sospecha que fue un ataque con motivación política.

La noticia es que para las versiones originales de Petya, el autor ha publicado su clave privada, lo que permite descifrar los archivos de las víctimas. @hsherezade, una investigadora independiente en seguridad de la información, ha publicado una herramienta que usa la clave publicada para descifrar los archivos. La herramienta está en versión beta, y como siempre se recomienda antes de intentar el descifrado, lo ideal es hacer una copia de seguridad del original cifrado por si el proceso de descifrado falla e inutiliza definitivamente nuestros archivos.

Las versiones descifrables son las siguientes:
  • Red Petya
  • Green Petya (ambas versiones)
  • GoldenEye Petya
Todas las versiones se reconocen fácilmente porque el nombre hace referencia al color del aviso que notifica la infección (rojo, verde o dorado/amarillo). Este blog detalla con capturas de pantalla cada una de las versiones comentadas, así como algunas versiones no oficiales (que no son descifrables por esta herramienta).

El enlace a la herramienta que descifra las versiones originales de Petya:

https://github.com/hasherezade/petya_key

La herramienta está publicada en código fuente, por lo que es necesario compilarla antes de usarla.



Más información:

The key to old Petya versions has been published by the malware author

Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html

Petya es el nuevo ransomware que causa estragos en todo el mundo


Carlos Ledesma
0 comentarios
Etiquetas: , ,

martes, 27 de junio de 2017

Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También se han detectado casos de afectados en España.

Petya pidiendo el rescate

El mensaje es claro:
"Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx  .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya. El rescate solicitado para recuperarla  es de 300 euros en bitcoins.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva versión que ha recogido el exploit empleado por Wannacry para su actuación.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.


Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados.
Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:
Para Windows 8.1
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
Para Windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
Para Windows 7 y Server 2008
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows XP, Server2003 y 8
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Una muestra de Petya en Virustotal
Al igual que ocurría con Wannacry se buscaba un "botón de desactivación", un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación

 Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.
Nuestro compañero Fernando Díaz explica en un hilo de Twitter acciones para detenerlo y una "vacuna temporal":

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:
Pues hoy no compra nadie
Está claro. No aprendemos:
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Identificado ataque de ransomware contra varias multinacionales con sede en España
https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html

VirusTotal
https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://virustotal.com/es/file/71e48c8cfe11a823ed3d26793fe0c925621a0d693d4925538de2ec7313062d67/analysis/

Wanna Cry Ransomware : Update 5/21/2017 FIX
https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

0 comentarios
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017