[Aktualizacja #5] Grzech zaniedbania – ransomware (nie)Petya atakuje publiczną infrastrukturę wielu krajów UE

29 czerwca, 2017

Różne media donoszą, te techniczne oraz informacyjne, o ataku na publiczną infrastrukturę Ukrainy, Wielkiej Brytanii, Hiszpanii, Holandii, Szwecji… I kilku innych państw, w tym także wiele firm z Polski.

Szkodnik (nie)Petya (wg firmy Kaspersky Lab i nie tylko) rozprzestrzenia się najprawdopodobniej tą samą metodą, co ransomware WannaCry – poprzez lukę w protokole SMBv1 wskutek opublikowanych exploitów opracowanych przez NSA i w dodatku publicznie dostępnych na githubie. Jednak możliwe jest, że wykorzystano innego exploita do wtargnięcia do klienckich systemów Windows. Niektórzy piszą o luce CVE-2017-0199 (dotyczy pakietów MS Office), która wykorzystywana jest przez malware pobrane jako złośliwy załącznik lub wskutek botnetu, którego częścią jest zainfekowany komputer. Tak czy owak to dropper Lokibot odpowiedzialny jest za rozprzestrzenie ransomware Kora (bazuje na kodzie Petya, ale wbrew doniesieniom medialnym nim nie jest) – po zaszyfrowaniu infekuje następne komputery przez PsExec oraz Windows Management Instrumentation Command-line (WMIC).

Ransomware, które bardzo przypomina szkodnika Petya, szyfruje – tak samo jak WannaCry – wszystko to, co jest wystawione „na zewnątrz” (komputery, terminale, biletomaty…):

Komputery w sklepie.

O samym WannaCry było głośno całkiem niedawno – na szczęście opracowano dekryptor. W przypadku zagrożenia przypominającego Petya, sprawa jest bardziej skomplikowana.

Ataki już komentuje Kaspersky Lab:

Wstępne wyniki badania wskazują, że za atakami nie stoi odmiana szkodnika Petya, jak wynika z doniesień medialnych, a nowe oprogramowanie ransomware, z którym analitycy nie mieli do czynienia wcześniej. Na chwilę obecną dane telemetryczne Kaspersky Lab wskazują na około 2 000 atakowanych użytkowników. Najwięcej ataków odnotowano w Rosji i na Ukrainie, jednak pojawiły się także próby infekcji w Polsce, we Włoszech, w Niemczech i kilku innych krajach. Wektor ataku na chwilę obecną nie jest znany.

Badacze z Kaspersky Lab zalecają wszystkim firmom, by niezwłocznie uaktualniły użytkowane systemy Windows, skontrolowały, czy stosowane oprogramowanie antywirusowe jest aktualne i działa prawidłowo oraz wykonały kopię zapasową najważniejszych danych na wypadek infekcji oprogramowania ransomware.

My ze swojej strony polecamy zastosowanie się do tych samych wskazówek, co w kwestii WannaCry, czyli załatanie swoich systemów i zabezpieczenie ich przed możliwą infekcją renomowanym oprogramowaniem antywirusowym.

Tak się składa, że przeprowadziliśmy test na ochronę przed wirusami szyfrującymi, w którym wykorzystaliśmy kilkanaście różnych odmian ransomware, m.in. Petya, który szyfruje nie tylko pliki, ale także nadpisuje główny rekord ładujący Master Boot Record (MBR) udając przy okazji narzędzie CHKDSK i nadpisuje boot loader.

Do tej pory wykonano 20 transakcji za okup. Liczba ta będzie rosnąć, w dodatku mogą pojawić się inne adresy portfeli BTC.

Grzech zaniedbania daje o sobie znać. Po raz kolejny.

[Aktualizacja #2], 28.06.2017

Pewny sposób na zatrzymanie ransomware „NiePetya” (szkodnik korzysta z kodu ransomware Petya, ale nim nie jest) to utworzenie plików o nazwie: „perfc”, „perfc.dat” i „perfc.dll” w lokalizacji „C:Windows” i ustawienie ich atrybutów „tylko do odczytu”. Można się posłyżyć tym plikiem wykonywalnym, który zrobi to za Was (trzeba uruchomić z uprawnieniami administratora).

Poniższe pliki są wymagane do rozpoczęcia procedury szyfrowania – zawierają potrzebne instrukcje. Jeśli ich kod będzie nieczytelny dla wirusa (i nie zostaną nadpisane: dlatego ustawiamy je jako „tylko do odczytu”), szyfrowanie nie nastąpi.

C:Windowsperfc

C:Windowsperfc.dat

C:Windowsperfc.dll

Liczba płacących okup zwiększyła się z 20 do 40.

[Aktualizacja #3], 28.06.2017

Badacze firmy ESET podają, od której iskry rozpoczął się samozapłon. Jes to oprogramowanie księgowe M.E.Doc wykorzystywane przez ukraińskie firmy i podmioty z nimi współpracujące, w tym instytucje finansowe. Program ten pobrał swoją aktualizację razem z trojanem. Umożliwiło to napastnikom auto-uruchomienie masowej kampanii z udziałem ransomware, która rozprzestrzeniła się na wiele krajów UE. Z prawdopodobnych scenariuszy bierze się pod uwagę fazę przed rozpoczęciem rozprzestrzeniania ransomware, a więc zhackowanie serwera przechowującego aktualizacje.

Ukraińska firma M.E.Doc opublikowała wczoraj wieczorem oświadczenie, które zostało już usunięte. Wygląda na to, że firma kwestionuje wcześniejsze zapowiedzi, że ich serwery rozpowszechniały szkodliwe oprogramowanie.  

[Aktualizacja #4], 28.06.2017

Jeśli ktoś z Was jest chętny płacić okup, nie róbcie tego. Konto „[email protected]” zostało zablokowane, co skutkuje niemożnością pozyskania klucza deszyfrującego. Ponadto pojawiają się już pierwsze analizy techniczne. Świetną robotę wykonał CERT Polska. Oto najważniejsze szczegóły:

  • Propagacja następuje na komputery z aktualnym systemem Windows w środowiskach domenowych.
  • Utworzenie pliku w lokalizacji C:Windowsperfc blokuje wektor ataku poprzez WMIC.
  • Jeżeli po restarcie komputera pojawi się na ekranie fałszywe narzędzie CHKDSK warto niezwłocznie wyłączyć komputer – w tym momencie są szyfrowane pliki.
  • Ransomware targetował tylko lokalne dyski twarde – udziały sieciowe ani dyski wymienne nie były celem ataku (a przynajmniej analizowana próbka przez CERT Polska nie ujawniała takich akcji).
  • Ransomware szyfrował pliki z rozszerzeniami:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
  • W mechanizmie nadpisywania sektora rozruchowego MBR nie stwierdzono istotnych zmian od zeszłorocznej kampanii. Po infekcji czyszczone są logi systemowe (Setup, System, Security, Application).
  • Dodawane jest w Harmonogramie zadań polecenie do restartu komputera godzinę po infekcji.
  • Premier Beata Szydło powołała Rządowy Zespół Zarządzania Kryzysowego. Na razie debatują bez komputerów:

DDZdVHCXcAA97V4 jpg large

[Aktualizacja #5], 29.06.2017

Z posiedzenia Rządowego Zespołu Zarządzania Kryzysowego nic większego nie wynikło. Dowiedzieliśmy się tylko to, co było już znane:

Zalecenia mogą wydawać się oczywiste, ale mówimy o kwestiach niezwykle ważnych. Kwestia wykonywania kopii bezpiczeństwa, kwestia aktualizacji systemów, kwestia współpracy z CERT-ami, kwestia szkoleń pracowników – powiedział Mariusz Błaszczak, szef MSWiA.

W drugim dniu po ataku ransomware korzystającego z kodu Petya, wiemy o tym szkodniku znacznie więcej:

  • Jak wspomniano i wbrew różnym medialnym doniesieniom, szkodliwe oprogramowanie, o którym pisze cały świat, to nie ransom Petya, ale jego udana modyfikacja określana jako NotPetya, albo ExPetr.
  • Podstawowym celem tego cyberataku nie były pieniądze. Wskazują na to poszlaki:
    • Budowa ransom’u Not Petya zdradziła badaczom, że nie posiada ono identyfikatora stanowiącego o unikalności zainfekowanej stacji Windows. Innymi słowy, celem ransom’a NotPetya było niszczenie, a nie wymuszanie okupu (co i tak nie mogło zakończyć się powodzeniem, ponieważ adres konto e-mail atakującego został zablokowany przez giełdę BTC).
    • Niektóre źródła wskazują, że za NotPetya stało coś więcej, coś, co wymagało zatarcia śladów.
    • W większości ataków ransomware ich autorzy zakładają co najmniej kilka adresów BTC, na wypadek zablokowania jednego i ułatwiają ofiarom ewentualne wpłaty. Ransomware NotPetya wręcz to utrudniał.
Wygenerowany unikalny ID instalacji w oryginalnej wersji ransomware Petya zawiera kluczowe informacje o kluczowym deszyfrującym. Po przesłaniu tych informacji do napastnika możliwe jest wyodrębnienie klucza deszyfrującego za pomocą prywatnego klucza.
NotPetya generuje ID za pomocą funkcji CryptGenRandom. Dane zakodowane są w formacie BASE58, ale jeśli porównamy losowo wygenerowane dane dla obu wersji ransomware, to powinny one być takie same. Niestety nie są. NotPetya wyświetla tylko losowe, zwykłe ciągi znaków. Oznacza to, że osoba atakująca nie może wyodrębnić żadnych informacji potrzebnych do odszyfrowywania z losowo wygenerowanego łańcucha znaków na komputerze ofiary, w wyniku czego ofiara nie będzie mogła odszyfrować żadnego z zaszyfrowanych plików przy użyciu identyfikatora instalacji.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
31 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]