Nueva oleada de ransomware afectando a múltiples equipos

Fecha de publicación: 
27/06/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Equipos con sistemas Windows.

Descripción: 

Se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones. El malware responsable es de tipo ransomware y pertenece a la familia conocida como Petya o Petrwrap. Una vez que compromete el sistema solicita el pago de 300 dólares.

Solución: 

Se recomienda tomar las siguientes medidas preventivas:

  • Establecer políticas de seguridad y seguir pautas de actuación como las que se indican en la sección Protege tu empresa en el portal de INCIBE:
    • Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
    • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
    • Realizar copias de seguridad de sus ficheros.
  • Utilizar el principio de mínimo privilegio en todos los sistemas.
  • En la medida de lo posible, bloquear el tráfico de los puertos TCP 135, 445, 1024-1035.
  • Bloquear la ejecución de ficheros en rutas como por ejemplo %AppData% o %Temp%.
  • Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.

Por el momento, se han confirmado los siguientes indicadores de compromiso:

  • Hashes (Fuente: AlienVault)
    • SHA256: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
    • MD5: 0487382a4daf8eb9660f1c67e30f8b25
    • SHA1: 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
    • SHA1: 0ff07caedad54c9b65e5873ac2d81b3126754aac
    • SHA1: 101cc1cb56c407d5b9149f2c3b8523350d23ba84
    • SHA256: 17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1fbd
    • SHA1: 1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
    • SHA1: 2bc182f04b935c7e358ed9c9e6df09ae6af47168
    • MD5: 71b6a493388e7d0b40c83ce903bc6b04
  • Direcciones IP
    • 111[.]90[.]139[.]247
    • 185[.]165[.]29[.]78
  • Dominios
    • coffeinoffice[.]xyz
    • french-cooking[.]com
  • URLs
    • http://84[.]200[.]16[.]242/myguy.xls
    • http://french-cooking[.]com/myguy.exe
  • Reglas de Yara

    (Fuente: Kaspersky)

    rule ransomware_PetrWrap {
    meta:

    copyright = "Kaspersky Lab"
    description = "Rule to detect PetrWrap ransomware samples"
    last_modified = "2017-06-27"
    author = "Kaspersky Lab"
    hash = "71B6A493388E7D0B40C83CE903BC6B04"
    version = "1.0"

    strings:

    $a1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu" fullword wide
    $a2 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls" fullword wide $a3 = "DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED" fullword ascii
    $a4 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" fullword ascii
    $a5 = "wowsmith123456@posteo.net." fullword wide

    condition:

    uint16(0) == 0x5A4D and
    filesize < 1000000 and any of them }

    (Fuente: FireEye)

    rule FE_CPE_MS17_010_RANSOMWARE {
    meta:version="1.1"
    //filetype="PE"
    author="Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com @ItsReallyNick"
    date="2017-06-27"
    description="Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec"
    strings:
    // DRIVE USAGE
    $dmap01 = "\\\\.\\PhysicalDrive" nocase ascii wide
    $dmap02 = "\\\\.\\PhysicalDrive0" nocase ascii wide
    $dmap03 = "\\\\.\\C:" nocase ascii wide
    $dmap04 = "TERMSRV" nocase ascii wide
    $dmap05 = "\\admin$" nocase ascii wide
    $dmap06 = "GetLogicalDrives" nocase ascii wide
    $dmap07 = "GetDriveTypeW" nocase ascii wide

    // RANSOMNOTE
    $msg01 = "WARNING: DO NOT TURN OFF YOUR PC!" nocase ascii wide
    $msg02 = "IF YOU ABORT THIS PROCESS" nocase ascii wide
    $msg03 = "DESTROY ALL OF YOUR DATA!" nocase ascii wide
    $msg04 = "PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED" nocase ascii wide
    $msg05 = "your important files are encrypted" ascii wide
    $msg06 = "Your personal installation key" nocase ascii wide
    $msg07 = "worth of Bitcoin to following address" nocase ascii wide
    $msg08 = "CHKDSK is repairing sector" nocase ascii wide
    $msg09 = "Repairing file system on " nocase ascii wide
    $msg10 = "Bitcoin wallet ID" nocase ascii wide
    $msg11 = "wowsmith123456@posteo.net" nocase ascii wide
    $msg12 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" nocase ascii wide
    $msg_pcre = /(en|de)crypt(ion|ed\.)/

    // FUNCTIONALITY, APIS
    $functions01 = "need dictionary" nocase ascii wide
    $functions02 = "comspec" nocase ascii wide
    $functions03 = "OpenProcessToken" nocase ascii wide
    $functions04 = "CloseHandle" nocase ascii wide
    $functions05 = "EnterCriticalSection" nocase ascii wide
    $functions06 = "ExitProcess" nocase ascii wide
    $functions07 = "GetCurrentProcess" nocase ascii wide
    $functions08 = "GetProcAddress" nocase ascii wide
    $functions09 = "LeaveCriticalSection" nocase ascii wide
    $functions10 = "MultiByteToWideChar" nocase ascii wide
    $functions11 = "WideCharToMultiByte" nocase ascii wide
    $functions12 = "WriteFile" nocase ascii wide
    $functions13 = "CoTaskMemFree" nocase ascii wide
    $functions14 = "NamedPipe" nocase ascii wide
    $functions15 = "Sleep" nocase ascii wide // imported, not in strings

    // COMMANDS
    // -- Clearing event logs & USNJrnl
    $cmd01 = "wevtutil cl Setup" ascii wide nocase
    $cmd02 = "wevtutil cl System" ascii wide nocase
    $cmd03 = "wevtutil cl Security" ascii wide nocase
    $cmd04 = "wevtutil cl Application" ascii wide nocase
    $cmd05 = "fsutil usn deletejournal" ascii wide nocase
    // -- Scheduled task
    $cmd06 = "schtasks " nocase ascii wide
    $cmd07 = "/Create /SC " nocase ascii wide
    $cmd08 = " /TN " nocase ascii wide
    $cmd09 = "at %02d:%02d %ws" nocase ascii wide
    $cmd10 = "shutdown.exe /r /f" nocase ascii wide
    // -- Sysinternals/PsExec and WMIC
    $cmd11 = "-accepteula -s" nocase ascii wide
    $cmd12 = "wmic"
    $cmd13 = "/node:" nocase ascii wide
    $cmd14 = "process call create" nocase ascii wide

    condition:
    // (uint16(0) == 0x5A4D)
    3 of ($dmap*)
    and 2 of ($msg*)
    and 9 of ($functions*)
    and 7 of ($cmd*)
    }

En caso de verse afectado puede contactar con el CERTSI para recibir ayuda a través de los siguientes canales:

  • Operadores estratégicos y de infraestructuras críticas del sector privado: a través de la dirección de correo electrónico 
  • Ciudadanos y empresas: a través de la OSI (www.osi.es y el teléfono 901111121) y de la dirección de correo electrónico 
  • Instituciones afiliadas a la red académica y de investigación española (RedIRIS): a través de la dirección de correo electrónico 

También aconsejamos efectuar las denuncias que estimen oportunas a través de la Oficina de Coordinación Cibernética del CNPIC, mediante correo electrónico (https://www.incibe.es/sites/default/files/email/secocc_interior.png) con el fin de coordinar la gestión del caso de forma conjunta por parte de las Fuerzas y Cuerpos de Seguridad del Estado.

Detalle: 

La infección se está produciendo a través de equipos con sistemas operativo Windows y, según confirman diferentes fuentes, está teniendo impacto en Rusia, Polonia, Alemania y especialmente en Ucrania.

El malware, perteneciente a la familia conocida como Petya o Petrwrap, es de tipo ransomware.

Las investigaciones apuntan a que utiliza tres vías de propagación:

  • PsExec, en el caso de que el equipo afectado tenga permisos de administración.
  • Windows Management Instrumentation Command-line (WMIC), en el caso de que haya sido capaz de obtener credenciales en memoria mediante una herramienta similar a Mimikatz o LSADump.
  • Vulnerabilidad conocida como EternalBlue, MS17-010.

Cuando el malware compromete un sistema comprueba si tiene permisos de administración sobre el mismo. En el caso de que sea así, cifra el sector de arranque (MBR) impiendo el acceso al dispositivo. En caso contrario, comienza a cifrar determinados ficheros usando el estándard de encriptación AES-128.

Una vez que infecta el equipo, eliminado los eventos de sistema y crea una tarea para reiniciarlo al cabo de una hora. Una vez reiniciado solicita un pago de 300 dólares mediante bitcoins para poder recuperar la información.

Mensaje que muestra Petya

El impacto en España está bajo estudio. Desde el CERTSI, se está en permanente contacto con las empresas de ciberseguridad y prestando soporte a empresas en España que pudieran verse afectadas. Por el momento, el malware está teniendo un impacto bajo y no ha afectado a ningún servicio esencial. En cualquier caso, recomendamos seguir las pautas indicados en el apartado "Solución" con el fin de prevenir la infección.

Etiquetas: