BadRabbit, la nueva versión de Notpetya/Petya.

BadRabbit es un ransomware que cuenta con muchos elementos similares a NotPetya, lo que sugiere que los autores detrás del ataque sean los mismos. Sin embargo esta vez el cifrado se ha sustituido por una herramienta más avanzada para evitar los errores cometidos anteriormente. Durante el análisis nos centraremos en la DLL maliciosa. 

A diferencia de NotPetya, este malware no hace uso de EternalBlue para distribuirse. Sin embargo, de manera similar utiliza 'WMIC' para distribuir los archivos y realiza un escaneo de la red interna buscando 'SMB' compartidos, entre los que se encuentran:

Listado de shares que el BadRabbit comprueba.

En esta ocasión contamos con un listado de credenciales empleadas para llevar a cabo ataques de diccionario sobre los dispositivos remotos, junto con un módulo basado en Mimikatz para recolectar usuarios y contraseñas. 

Listado de usuarios / passwords empleado por el ataque de diccionario.

Se puede observar también que existen directorios que no se ven afectados por el ransomware. Los directorios \\Windows, \\Program Files, \\ProgramData y \\AppData no son cifrados. 

Datos correspondientes a las extensiones, la nota de rescate y las carpetas ignoradas.

La lista de extensiones afectadas podemos verla a continuación. 

 .3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .x ml .xvd .zip

La mayoría de extensiones son las más comunes entre el ransomware, aunque esta vez incluye objetivos como archivos de maquinas virtuales para los distintos sistemas de virtualización además de ficheros comprimidos, documentos de Office, vídeo, código (.java, .c, .cpp, etc)

Servicio TOR al que las victimas se dirigen.

El cifrado se lleva a cabo a través de DiskCryptor, un software legítimo utilizado para hacer un cifrado completo del disco, el cual es instalado como servicio por el malware. Las claves aleatorias se generan a través de una función criptográficamente segura CryptGenRandom y luego son protegidos por una clave publica RSA 2048 harcodeada.

Clave hardcodeada empleada para proteger la clave aleatoria.

Finalmente, la clave aleatoria es utilizada como argumento en otra herramienta encargada de hacer el cifrado del archivo:

schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR %ws /C Start \"\" \"%wsdispci.exe\" -id %u && exit"

Agregando dispci.exe a tasks.

De momento, el ataque parece dirigido a usuarios de Europa del Este por lo que los países como Rusia, Bulgaria y Ukrania se ven afectados por el ataque en su mayoría; aunque también Japón y Turquía reciben un numero elevado de infecciones. La distribución se hace a través de un javascript malicioso. 

Este malware necesita permisos de creación de archivos en carpetas que requieren privilegios de administrador. Por tanto, si el ransomware no es ejecutado como administrador y existen unas políticas correctas en el sistema no se llegará a ejecutar con éxito. Otra manera de evitar la infección, es crear un archivo C:\perfc.dat con permisos de READ-ONLY (sólo lectura) que al estar presente provocará que el ransomware no siga realizando ninguna acción. 

Fernando Díaz
fdiaz@hispasec.com
@entdark_

Más información:

infpub.dat (Empleada en el análisis):
https://www.virustotal.com/#/file/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648/detection

Mimikatz:
https://github.com/gentilkiwi/mimikatz

NotPetya:
https://blog.malwarebytes.com/cybercrime/2017/06/petya-esque-ransomware-is-spreading-across-the-world/

Bad Rabbit: Not-Petya is back with improved ransomware:
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

DiskCryptor:
https://diskcryptor.net/wiki/Main_Page

MongoDB, el nuevo filón del Ransomware

Es posible que el Ransomware afecte a cientos de miles de usuarios de "a pie" o incluso cifre carpetas compartidas de redes corporativas donde la pérdida de ciertos archivos podría suponer una sobredosis de ibuprofeno a los sysadmins. Pero eso, económicamente, podemos suponer que no reporta un gran beneficio al filibusterismo digital. 

El lucro está realmente donde se encuentran los dineros, los cuartos, la pasta, el peculio, en definitiva, la riqueza. ¿Porqué cifrar las fotos del último verano o los informes TPS cuando puedes paralizar el departamento de ventas de una multinacional? ¿y donde de encuentra el corazón de todo ese andamiaje digital que sustenta el aparato de negocio? Las Bases de Datos amigo, las bases de datos. Ahí es donde tenemos el tesoro de la corona, años enteros de amasamiento binario, transacciones, datos, cifras, etc, etc, etc.

Así que, con la cantinela de costumbre, se traza el rumbo, se izan las velas y se dan guiñas a la crujía hasta enfocar un buen puerto abierto y tranquilo, ahí tenemos un 27017. Abrimos los cartapacios y consultamos las cartas: MongoDB. Ahora toca cargar las piezas con un buen amasijo de contraseñas por defecto y "bum", tras unas pocas andanas la plaza se rinde y capitula. Victoria fácil y desmeritoria. A los pies, gigas y gigas de petróleo eléctrico, el botín es nuestro.

No hace falta ni cifrar. Ahora se extrae la base de datos cuidadosamente, trozo a trozo. Luego se borra por completo y se deja una nota de rescate: 1000 maravedíes a cambio de esta fabulosa fortuna. Suyo, el cybercrooker de turno. No pasa mucho tiempo cuando empiezan a sonar los timbres de los teléfonos del departamento técnico. No pasa mucho tiempo más cuando después de un reseteo la cosa sigue sin funcionar. Algo falla, los datos ya no están ahí.

Bases de datos secuestradas asomando en Shodan

Estos ataques se vienen produciendo desde enero de este año, cuando se reportó el secuestro progresivo de miles de bases de datos. No solo MongoDB, por supuesto, pero era significativo su porcentaje, que alcanzaba hasta un 56% del total de secuestros a manos de varios grupos organizados. Nada de zero-days, ni sofisticadas APT, palos y piedras: basta con probar un juego de contraseñas y clack, acceso permitido. Incluso algunas instalaciones ni tan siquiera poseían contraseña.

Poco a poco, los grupos organizados dieron cuenta de este nuevo filón y se fueron sumando a la fiesta, soltando automatismos que iban escudriñando la red en busca de objetivos. Una auténtica cadena de producción, donde todo es un proceso, desde la infección o ataque al propio pago. Podríamos hablar ya de un perfecto RaaS (Ransomware as a Service), la industrialización del pecado por omisión o desidia de algunas organizaciones, que movidos por la fiebre del low-cost reducen la planificación y despliegue al mínimo imprescindible.

Un trabajo que merece la pena atender, es el de los investigadores Víctor Gevers, Niall Merrigan y Dylan Kats. Se han dedicado a recopilar información sobre los ataques, transacciones, grupos involucrados, campañas, etc. Toda la información está disponible públicamente en una hoja de cálculo. En ella puede observarse una curiosa anotación "These are actors that have been found deleting databases without exfiltrating the data first. This means that they are unable to produce data even if ransom is paid". Es decir, que incluso pagando no hay datos de vuelta; algo que se observa con toda variante de Ransomware.

En este sentido, otro de los puntos reseñables en los datos acumulados es que los delincuentes "hacen caja". Si observamos las transacciones en bitcoins vemos flujos de pequeñas cantidades que han sido abonadas en un intento, muchas veces en vano, de recuperar los datos sustraídos. Esto podría haber hecho que los ataques repunten y que últimamente se observe una nueva oleada de secuestros.

Con el Internet de las cosas que parecen no importarnos lo más mínimo se han creado lucrativas botnets para extorsionar mediante denegaciones de servicio selectivas. Se han levantado granjas clandestinas de criptominado y ahora tenemos servicios publicados a la ligera, con datos valiosos protegidos por contraseñas (donde las hay) triviales. 

Justo aquí, en este bloque, tradicionalmente hemos puesto una serie de medidas para paliar semejantes agujeros. ¿Pero vale la pena el esfuerzo? ¿De verdad le interesa la seguridad a alguien que deja expuesto los datos del negocio a una distancia de 8 caracteres? Yo asumo que no. El mal rato dura lo que tardan los datos en reconstruirse o los seguros en responder o incluso puede que ese golpe termine por cargarse el negocio y apaga y vámonos, quien sabe. 

MongoDB ha publicado una guía de prácticas seguras y una checklist preciosa, algo es algo. Un solo administrador competente echa una mañana en bastionizar con esos documentos una instalación de MongoDB, pero claro eso ya sale caro, ya no es low-cost, ni un veterano ni una mañana en "perder" el tiempo arreglando algo que "funciona"...

David García

@dgn1729

dgarcia@hispasec.com

Más información

Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victims

https://www.bleepingcomputer.com/news/security/massive-wave-of-mongodb-ransom-attacks-makes-26-000-new-victims/

How to Avoid a Malicious Attack That Ransoms Your Data

https://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data

Creando ransomware sin escribir una línea de código

Investigadores de seguridad de Symantec han detectado un incremento en la aparición de aplicaciones Android catalogadas como TDK (Trojan Development Kits, o kits de desarrollo de troyanos) que permiten a cualquier usuario crear malware para Android sin escribir una sola linea de código.



Cómo crear tu propio ransomware Android

Las opciones disponibles una vez se ejecuta la aplicación, y que sirven para configurar el malware, incluyen:

• Configuración de la clave para desbloquear el dispositivo.
• El mensaje que se muestra en la pantalla de bloqueo del malware.
• El icono del malware.
• Tipo de animación que aparece en el smartphone una vez infectado.
• Las operaciones matemáticas usadas para hacer el código aleatorio.

Por ejemplo, el conocido ransomware Lockdroid es capaz de cambiar el PIN del dispositivo, bloquearlo e incluso hacerle un reseteo de fábrica si así lo desea.

Una vez creado, a través de un chat con el desarrollador, incluido en la plataforma, se hace un único pago por el servicio. Tras el ingreso de la cantidad acordada, el malware se genera y descarga en el almacenamiento externo del teléfono. La manera en la que se distribuye este malware y a quienes depende completamente del usuario, decidiendo este los estragos que quiere provocar.

Daniel Púa

@arrowcode_

dpua@hispasec.com

Más información:

Mobile malware factories: Android apps for creating ransomware

https://www.symantec.com/connect/blogs/mobile-malware-factories-android-apps-creating-ransomware

WannaCry: La amarga letanía de los servidores samba

Actualmente, el término “viernes negro” se asocia a nuestras ansias consumistas. Un día diseñado para el consumidor, en el que puede liberar esa fuerza inhumana que impulsa a ciertas personas a volatilizar cualquier atisbo de ahorro. Pero esto no es así. Originalmente, un viernes negro era un día fatídico, señalado así por la ocurrencia de un acto luctuoso, o incluso un desastre financiero (no, el crack del 29 cayó en jueves), que vendría a ser recordado así en años venideros.

El viernes 12 de mayo fue un verdadero “viernes negro” para muchísimos administradores de sistemas y personal de seguridad. Esa mañana, con un mecanismo clásico y nada original, inaugurado por el gusano de Morris hace 30 años, comenzó a replicarse WannaCry. Fue tal el latigazo mediático que hasta las cabeceras de los noticieros se llenaron de palabros incomprensibles para el espectador medio. El resto es historia, reciente y conocida por todos, sufridas en sus carnes por algunos compañeros de oficio.

Nunca se supo con absoluta certeza si el arponazo original fue una campaña de phishing dirigida (spear phishing) o servicios samba expuestos públicamente. La primera opción, desde luego, fue perdiendo fuelle conforme pasaba el tiempo y no arrojaba resultados conclusivos. El supuesto correo original no aparecía por ninguna parte, sin embargo, a la luz del hecho de que un gran número de corporaciones y grandes empresas comenzarán a activar sus protocolos de contención, alguna que otra voz se alzó teorizando acerca de un posible uso de un zeroday. El muy efectivo ETERNALBLUE. Resultó curioso, porque el vector característico del ransomware es el correo, a la caza del usuario desprevenido, y nadie se esperaba un RCE con replicación a la Conficker.

Un fallo, dos fallos, tres fallos

No dudamos en que se tomaron las medidas adecuadas, se actualizaron protocolos y se endurecieron políticas de seguridad (recordemos las lecciones aprendidas por Google tras la operación Aurora). Pero sí o sí el fallo, bastante grave, estaba allí. No nos estamos refiriendo a la exposición de un servicio sin parchear, que ya de por sí otorgaría la suficiente fuerza para arquear las cejas, nos referimos a la muy cuestionable idea de exponer un servicio que no es (o no debería serlo) a priori vital para la organización.

Si pensamos en cómo están estructuradas algunas redes internas, en cómo algunos clientes conectan "a las bravas" con carpetas compartidas en una topografía plana y seguimos tiramos del hilo hasta alcanzar un servidor samba escuchando hacia Internet, probablemente la segunda opción de la que hablábamos no suene tan alocada. Toda una combinación de factores inocentes por sí mismos pero letales cuando entran en combinación. Un zombi da con el servidor que "teníamos por ahí perdido", infecta, nuestro servidor se vuelve contra nosotros, redes planas, equipos sin parchear y...París era una fiesta.

¿Si una infección por ransomware vía ingeniería social nos está evidenciando un nivel de concienciación deficiente, qué nos está enseñando un ataque como el de WannaCry? En primer lugar, dejar un servicio probablemente no vital escuchando hacia Internet. No, no valen las excusas de que era necesario, puesto que si lo era no estaba debidamente parcheado, filtrado o controlado. En segundo lugar, no fragmentar adecuadamente un servicio de la DMZ con la red interna donde se conectan los empleados. En tercer y último lugar, es evidente que las estaciones de trabajo tampoco estaban parcheadas. Podríamos seguir tirando del hilo: ausencia de IDS, actualización de las reglas del mismo, etc, pero creemos que con esto es suficiente.

Realmente, deberíamos sopesar si en la clásica ecuación seguridad-flexibilidad nos estamos dejando llevar por las quejas de los usuarios o los ajustadísimos presupuestos (talla 34) de los departamentos de seguridad no dejan margen para las sutilezas. El "todo deprisa y corriendo" es una fortuna caprichosa que golpea en el momento más inesperado. Mientras el truco funciona la seguridad siempre parece un desperdicio de recursos, pero cuando los planetas se alinean y los sambas susurran entre ellos...nos encontramos a milímetros de la tragedia y entonces, durante un breve espacio de tiempo, la seguridad nos parece atractiva, elegante, necesaria, confortable y ¡chas!, por arte de magia, ya no hay fondo en el bolsillo. Eso sí, el hechizo dura poco, muy poco.

Por cierto, en España estamos así de sambas:

Y muchos de ellos, cuando susurran, nos cuentan al oído esto:

David García

@dgn1729

dgarcia@hispasec.com

Más información

Gusano Morris

https://es.wikipedia.org/wiki/Gusano_Morris

Un ransomware ataca a múltiples compañías

http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

WannaCry y las lecciones que nunca aprendemos

http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

ShieldFS: un sistema de ficheros contra el ransomware

ShieldFS es un sistema de ficheros que nace fruto de la investigación de un equipo del Politécnico de Milán. Durante meses, recolectaron datos de millones de peticiones de I/O realizadas por aplicaciones legítimas en sistemas operativos limpios, y por ransomware en equipos infectados. Esto permitió ver las diferencias entre ambos y establecer modelos de comportamiento.

En general, al comparar con otros procesos, en el comportamiento típico del ransomware se realizan más lecturas, escrituras y cambios de nombre a un fichero, además de generar alta entropía en las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa en la tabla 3 de su estudio.

Con estos datos en la mano, es posible reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se diseñó una capa de protección y sistema de monitorización de procesos que se introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse un proceso desconocido, es monitorizado en sus primeros pasos en el sistema hasta que se puede discernir por su comportamiento que es seguro. En caso de detectar actividad propia del ransomware, el proceso queda bloqueado.

Comparación de actividad entre procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Pero la funcionalidad del sistema de ficheros va más allá de este bloqueo. Además, se incluye un sistema de respaldo que mantiene copias recientes de los ficheros. De esta manera, tras la detección del ransomware, todos los ficheros escritos por este se sustituyen por un respaldo reciente en cuestión de segundos.

Esto es especialmente útil dado que, según los investigadores, en ocasiones los rescates se pagan simplemente porque los ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo tradicionales deben llegar a un compromiso entre rendimiento, espacio y actualidad, y es complicado que tengan cambios recientes. Esta dificultad es eludida por ShieldFS al trabajar a más bajo nivel.

Funcionamiento de ShieldFS. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Para las pruebas del sistema, se llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt, Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y restaurando la actividad maliciosa con éxito.

Sin embargo, el sistema tiene limitaciones. Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando código en los procesos benignos del sistema y dejando que cada uno de estos haga una pequeña parte del cifrado malicioso, camuflado así su actividad.

ShieldFS fue presentado el pasado diciembre en la Annual Computer Security Applications Conference de Los Angeles y el pasado miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo académico, estaremos atentos al avance del proyecto para ver si representa un avance hacia la erradicación del ransomware, una amenaza que ha atacado con especial virulencia en los últimos meses.

Más información:

SHIELDFS: A Self-healing, Ransomware-aware Filesystem

http://shieldfs.necst.it/

ShieldFS: A Self-healing, Ransomware-aware Filesystem Paper [PDF]:

http://shieldfs.necst.it/continella-shieldfs-2016.pdf

Francisco López

flopez@hispasec.com

@zisk0

Publicado el código fuente para Android de SLocker, el ransomware de las mil caras

SLocker es un ransomware para Android que cifra los archivos y bloquea la pantalla. Se caracteriza por haberse hecho pasar por distintas fuerzas de seguridad de los estados, e incluso por el mismísimo WannaCry, para cobrar el rescate.

Una versión de SLocker la que se disfraza de WannaCry

Como si de una herramienta open source cualquiera se tratase, hace unos días se publicó en GitHub el código fuente de SLocker. El responsable, un usuario bajo el pseudónimo fs0c1ety, Tal y como avisa en la descripción, no es el código fuente original, sino el obtenido tras decompilar una muestra con técnicas de ingeniería inversa. Parece ser que este usuario le está cogiendo el gustillo a eso de decompilar malware para Android y publicar el código fuente, como muestra otro nuevo repositorio en su misma cuenta, esta vez decompilando GhostCtrl, otro peligroso malware para Android que, según la versión, recopila datos personales del terminal, secuestra funcionalidades del teléfono, o todo a la vez.

En vez de centrarnos en el ransomware en sí, sobre el que ya hay información en la red de sobra, vamos a centrarnos en la publicación de su código fuente. El que publica especifica que el código fuente debe ser usado únicamente con propósitos de investigación en seguridad informática. Pero las palabras son sólo palabras, y el patrón es conocido de sobra: se publica el código fuente de un malware y en los días sucesivos florece una gran variedad de versiones de este, compiladas usando como base el código fuente publicado. La verdad, no podemos saber a ciencia cierta la intención de este usuario de GitHub que pide ayuda en una issue (ticket) para compilar el malware.

El código fuente público de malware atrae principalmente a delincuentes con perfil bajo, y no se espera un gran impacto a pesar de la liberación. Los delincuentes más experimentados suelen preferir programar ellos mismos el malware o comprarlo hecho a terceros con soporte y garantía de no ser demasiado público (y por tanto demasiado investigado y detectado). Al no ser atacantes muy sofisticados, los medios de propagación del malware tampoco lo serán, y seguramente se limitarán a intentar colar troyanos usando ingeniería social (haciendo pasar el malware por una herramienta para rootear el móvil o hacer trampas en un videojuego).

¿Cómo evitar ser infectado? El principal punto débil sigue siendo el usuario. Una vez tienes todo software del terminal actualizado, el resto es sentido común. No instales aplicaciones sospechosas (ni siquiera si vienen de Google Play), ya sabes que el malware se disfraza. ¿De verdad necesitas esa aplicación para hacer trampas en un videojuego? Te puede costar un mal rato...

Más información:

SLocker decompiled code leaked online for free, a gift for crooks and hackers
http://securityaffairs.co/wordpress/61323/malware/slocker-source-code.html

Android Smartphones Targeted by WannaCry Lookalike
https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/

Cómo saber si estamos infectados por el troyano GhostCtrl y cómo protegernos de él
https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/

Ransomware Recap: Ransomware as a Service Surge, SLocker Resurfaces
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces

Carlos Ledesma

@Ravenons

Disponible herramienta para descifrar Petya/GoldenEye, el ransomware de la calavera

Hagamos memoria: Petya (GoldenEye siendo una de sus variantes) es un crypto-ransomware conocido desde marzo de 2016. Recordamos que un crypto-ransomware cifra archivos del usuario y pide un rescate por descifrarlos. 

La temible pantalla que anuncia el secuestro

Técnicamente, Petya se caracteriza porque su principal forma de secuestro es cifrar la MFT (índice de archivos en disco), en vez de cifrar los archivos uno a uno como habitualmente (algunas versiones de Petya también tienen esta opción). Curiosamente, más que ser conocido por la versión del autor original, es más famoso por EternalPetya, una versión pirateada (sí, se piratea malware) que afectó principalmente a Ucrania. Tuvo bastante más tirón mediático porque se sospecha que fue un ataque con motivación política.

La noticia es que para las versiones originales de Petya, el autor ha publicado su clave privada, lo que permite descifrar los archivos de las víctimas. @hsherezade, una investigadora independiente en seguridad de la información, ha publicado una herramienta que usa la clave publicada para descifrar los archivos. La herramienta está en versión beta, y como siempre se recomienda antes de intentar el descifrado, lo ideal es hacer una copia de seguridad del original cifrado por si el proceso de descifrado falla e inutiliza definitivamente nuestros archivos.

Las versiones descifrables son las siguientes:

• Red Petya
• Green Petya (ambas versiones)
• GoldenEye Petya

Todas las versiones se reconocen fácilmente porque el nombre hace referencia al color del aviso que notifica la infección (rojo, verde o dorado/amarillo). Este blog detalla con capturas de pantalla cada una de las versiones comentadas, así como algunas versiones no oficiales (que no son descifrables por esta herramienta).

El enlace a la herramienta que descifra las versiones originales de Petya:

https://github.com/hasherezade/petya_key

La herramienta está publicada en código fuente, por lo que es necesario compilarla antes de usarla.



Más información:

The key to old Petya versions has been published by the malware author

https://blog.malwarebytes.com/cybercrime/2017/07/the-key-to-the-old-petya-has-been-published-by-the-malware-author/

Keeping up with the Petyas: Demystifying the malware family
https://blog.malwarebytes.com/cybercrime/2017/07/keeping-up-with-the-petyas-demystifying-the-malware-family/

Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html

Petya es el nuevo ransomware que causa estragos en todo el mundo

http://unaaldia.hispasec.com/2017/06/petya-es-el-nuevo-ransomware-que-causa.html

Carlos Ledesma

@Ravenons

Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También se han detectado casos de afectados en España.

Petya pidiendo el rescate

El mensaje es claro:

"Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx  .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya. El rescate solicitado para recuperarla  es de 300 euros en bitcoins.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva versión que ha recogido el exploit empleado por Wannacry para su actuación.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.

Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados.

Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:

Para Windows 8.1

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216

Para Windows 10

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

Para Windows 7 y Server 2008

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Windows XP, Server2003 y 8

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Una muestra de Petya en Virustotal

Another #petya sample from a month ago: https://t.co/3n3gCadjKM

— Karl Hiramoto (@karlhiramoto) 27 de junio de 2017

Al igual que ocurría con Wannacry se buscaba un "botón de desactivación", un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación

Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.


Nuestro compañero Fernando Díaz explica en un hilo de Twitter acciones para detenerlo y una "vacuna temporal":

La rutina de cifrado se activará cuando reiniciemos, en el arranque. En caso de ver que se ejecuta un CHKDSK apagar

— Fernando (@entdark_) 27 de junio de 2017

... frenaría el proceso. En cualquier caso, es una vacuna temporal. Apagar y sacar los datos es lo ideal.

— Fernando (@entdark_) 27 de junio de 2017

Vale desde powershell crear New-Item %unidad%/windows/perfc

— Fernando (@entdark_) 27 de junio de 2017

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:

Pues hoy no compra nadie

Está claro. No aprendemos:

http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías

http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos

http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Identificado ataque de ransomware contra varias multinacionales con sede en España

https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html

VirusTotal

https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

https://virustotal.com/es/file/71e48c8cfe11a823ed3d26793fe0c925621a0d693d4925538de2ec7313062d67/analysis/

Wanna Cry Ransomware : Update 5/21/2017 FIX

https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

WannaCry y las lecciones que nunca aprendemos

Ya pasó la resaca del famoso ransomware WannaCry del pasado viernes, sin embargo siguen las amenazas de una nueva versión. Cuando ya sabemos casi todo del malware, llega el momento de recapacitar y ver si de una vez somos capaces de aprender algo de estos casos.

Como el coyote. No
aprendemos de los errores

En los últimos días hemos visto noticias sobre el ciberataque mundial que ha "colapsado el mundo”, con frases como que estamos ante "el mayor ciberataque de todos los tiempos" o que "estamos ante el inicio de una guerra"... Desde Hispasec queremos poner un poco de orden en toda la información que ha estado circulando estos días.

Es cierto que hacía tiempo que no se veía un ataque que fuera tan grave, global y problemático. Sin embargo los que tenemos algo de memoria, y si no basta con recurrir a Google, podemos recordar más de un ataque similar hace ya muchos años. Podemos recordar casos como el LoveLetter, Slammer, Nimda, Conficker o muchos similares. Después de cada caso de estos tendemos a recapacitar, ver los errores, se corrige, se parchea y se olvida todo. Sin embargo vemos como después de cada caso de este tipo en vez de aprender algo tendemos a olvidar rápidamente lo ocurrido.

Se ha hablado de un ataque global de gran escala con muchos infectados. La prensa se ha hecho eco de la gravedad del problema y la propagación que ha tenido. Se ha hablado de cifras de infección de en torno a 100.000 equipos, como algunas de las más elevadas. Sin embargo podemos recordar los números de infectados por otros malware a lo largo de la historia, por citar algunos representativos:

• CIH (1998) 60 millones de equipos infectados.
• I Love You o Loveletter (2000) fueron 50 millones infectados.
• Slammer (2003) con más de 75.000 servidores infectados en los primeros 10 minutos.
• Sasser (2004) más de 1 millón de equipos infectados.
• Conficker (2009) unos 7 millones infectados.

Los datos hablan por sí solos y las comparaciones son odiosas. En cualquier caso, ¿se aprendió algo de estos otros malware con infecciones masivas? Todo indica que no.

Y si hablamos de ransomware aunque no hay cifras concretas, estamos seguros de que el famoso virus de la policía ha infectado a mucha más gente que WannaCry. En un periodo de tiempo más extenso, sí, pero esa muestra de malware dio grandes quebraderos de cabeza a miles de usuarios.

¿Podremos aprender algo de una vez?

"de nuevo un gusano que aprovecha
una vulnerabilidad en un producto de
Microsoft provoca el colapso en Internet."

"Vulnerabilidades tienen todos los sistemas, no es un problema en exclusiva de Microsoft, pero este caso viene a poner el dedo en la llaga. Cuando... Microsoft intenta disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado."

Parece que se trata de algo reciente, escrito justo después del ataque del viernes, sin embargo aunque parezca sorprendente estos párrafos tienen más de 14 años (27 de enero de 2003). En una-al-día posterior al caso SQL-Slammer Aquella noticia se titulaba "Lecciones del gusano MS-SQL, y la verdad es que prácticamente todo el artículo sigue siendo vigente. Y es muy recomendable su lectura con los ojos puestos en la actualidad, para comprobar lo poquito que han cambiado muchas cosas.

Las conclusiones y lecciones después de cada caso son muy similares. Nada nuevo.

Actualizaciones. En esto somos muy pesados, todos los días hablando de parche para x o para y, hoy es Windows, mañana Apple, al otro el navegador... Pero es que nuestra experiencia en auditorías nos dice que mantener los equipos y servidores actualizados nos libra de más de un 90% de los problemas. De hecho los equipos actualizados no se verían afectados por este ataque.

"La disponibilidad de un parche no asegura la protección de los sistemas, es necesario que los administradores o usuarios lo apliquen. Si bien es cierto que en algunos casos puede ser un problema por dejadez, falta de tiempo o simple desconocimiento, existe también ciertas reticencias a su instalación inmediata en ambientes en producción. No es que los administradores tengan manías, sino todo lo contrario, es por experiencia propia: parches que se superponen, regresiones de vulnerabilidades, problemas de estabilidad o incompatibilidad con otros componentes."

Otro párrafo que no es nuevo, también tiene 14 años... Pero el problema parece que ha sido el mismo, la falta de una actualización que llevaba un par de meses publicada.

"Los usuarios deben ser conscientes de que, cada vez que no instalan un parche crítico, están dejando una puerta abierta para que un intruso pueda controlar totalmente su sistema, sustraer su información más sensible, borrar sus discos duros, o espiar todo lo que hacen con su ordenador. Y esto ocurre con mucha más frecuencia de la que se cree, con el agravante de que suele pasar desapercibido, al contrario de lo que ocurre con los gusanos."

También formaba parte de las conclusiones de Hispasec tras el gusano Sasser en 2004. 13 años después podemos comprobar que los problemas siguen siendo los mismos.

Pero si los casos anteriores se han cobrado muchas víctimas "civiles", destaca de esta campaña los nombres de las empresas afectadas. Dejando aparte el caso de Telefónica y otras grandes empresas, el ransomware se ha cobrado victimas entre corporaciones y organismos de todo el mundo, afectando a servicios tan críticos como el Servicio Nacional de Salud de Reino Unido, u organismos estatales y servicios de transporte en Rusia. WannaCry ha demostrado que las infraestructuras siguen siendo tan frágiles como hace años y que, en cuanto a gestión de riesgo, en ocasiones la ganancia de flexibilidad en las operaciones sigue priorizándose sobre la seguridad del sistema, unida en algunos casos a la desidia en el mantenimiento.

Copias de seguridad. Posiblemente siga siendo el gran olvidado, pero la realización de copias de seguridad periódicas diarias, semanales... Con una adecuada política, manteniendo las copias en un entorno diferente, etc. puede salvar de un problema de este tipo. Si hay una copia de seguridad de todos los datos del día anterior ante un problema similar podemos estar seguros que la pérdida no será tan significativa.

Pagar o no pagar. Hay que recordar que en muchos casos de ransomware aunque se ha llegado a producir el pago no se ha podido recuperar la información. La recomendación siempre es no pagar. Por lo que se sabe la cantidad recaudada en los tres monederos que recaudaban los fondos de este malware apenas sobrepasa los 70.000 dólares. Cantidad que se puede considerar baja teniendo en cuenta el impacto que ha tenido.

Indicadores de compromiso. Esta muy bien disponer de un firewall, detector de intrusos y un buen número de medidas de seguridad activas y proactivas, pero de nada sirven si no se mantienen al día. Los indicadores de compromiso es el medio empleado en la actualidad para alimentar sistemas de seguridad. En Hispasec ofrecemos IOCFlow que permite aportar a los mecanismos de protección datos en tiempo real, incluyendo malware, documentos maliciosos de Office e incluso URLs maliciosas.

De todas formas no estamos libres de problemas, siempre puede surgir un 0day que cause estragos. Vulnerabilidad no conocida, sin parche, y si quieres redondearlo para sistemas Windows actualizados, con ejecución remota de código. Aunque actualmente este tipo de problemas suelen estar tan bien cotizados en el mercado negro que no se emplean en ataques a gran escala sino para ataques muy muy dirigidos.

Cosas positivas, la comunicación e información es mucho más rápida (que antaño), así como la colaboración entre empresas de seguridad, antivirus, proveedores, telcos, organismos gubernamentales, etc. colaboran de forma activa y mucho más cuando hay que enfrentarse a casos como este. La seguridad de la red es algo que nos atañe a todos. En este caso cabe señalar la colaboración de telefónica con otras compañías compartiendo toda la información que disponía, medidas, etc. 

Cosas negativas. Como siempre en muchos casos la información de algunos medios más pensando en una noticia mediática que en la propia noticia y en lo que importa. Algo que cada vez es más frecuente en Internet, especialmente con el uso y abuso de redes sociales, es el hacer leña del árbol caído. En este caso muchas de las informaciones se centraban en Telefónica, sencillamente porque fue la primera afectada y la que reconoció el problema, le podía haber tocado a cualquiera. De hecho otras actuaron de forma proactiva al saber lo que ya había pasado. A las pocas horas vimos como el problema era global. Empezamos a conocer noticias del sistema de salud inglés, de Latinoamérica, y otras compañías afectadas de todo el mundo.

Microsoft también saca sus propias conclusiones, también interesantes incidiendo igualmente en la importancia de mantener los sistemas actualizados y de la coordinación entre todos los actores para luchar contra estos ataques.

"Debemos tomar de este reciente ataque una renovada determinación para una acción colectiva más urgente. Necesitamos que el sector tecnológico, los clientes y los gobiernos trabajen juntos para protegerse contra los ataques cibernéticos. Se necesita más acción, y se necesita ahora. En este sentido, el ataque WannaCrypt es una llamada de atención para todos nosotros. Reconocemos nuestra responsabilidad de ayudar a responder a esta llamada, y Microsoft se compromete a hacer su parte."

Las lecciones que debemos aprender están expuestas desde hace mucho, solo nos queda ser realmente conscientes de que debemos aprenderlas y tomarnos el problema en serio. Esperemos que esta vez haya sido la definitiva.

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (25/4/1999) El virus CIH se activa mañana
http://unaaldia.hispasec.com/1999/04/el-virus-cih-se-activa-manana.html

una-al-dia (04/05/2000) Consideraciones sobre VBS.LoveLetter, un gusano muy simple

http://unaaldia.hispasec.com/2000/05/consideraciones-sobre-vbsloveletter-un.html

una-al-dia (27/01/2003) Lecciones del gusano MS-SQL

http://unaaldia.hispasec.com/2003/01/lecciones-del-gusano-ms-sql.html

una-al-dia (03/05/2005) Lecciones aprendidas con Bagle/Beagle

http://unaaldia.hispasec.com/2005/05/lecciones-aprendidas-con-baglebeagle.html

una-al-dia (22/01/2007) El mediático troyano de la tormenta y las lecciones no aprendidas

http://unaaldia.hispasec.com/2007/01/el-mediatico-troyano-de-la-tormenta-y.html

una-al-dia (03/05/2004) Gusano Sasser: un mal menor que evidencia la falta de seguridad

http://unaaldia.hispasec.com/2004/05/gusano-sasser-un-mal-menor-que.html

una-al-dia (02/04/2009) Éxitos y fracasos de Conficker

http://unaaldia.hispasec.com/2009/04/exitos-y-fracasos-de-conficker.html

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

IOCFlow
https://iocflow.com/es/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero