o Petya Ransomware / Limpador tem causado estragos na Europa, e um vislumbre da infecção foi visto pela primeira vez na Ucrânia, quando mais de 12.500 máquinas foram comprometidas. A pior parte foi que as infecções também se espalharam para a Bélgica, o Brasil, a Índia e também os Estados Unidos. O Petya tem capacidades de worm que permitem que ele se espalhe lateralmente pela rede. A Microsoft publicou uma diretriz sobre como abordará Petya,
Petya Ransomware / Limpador
Após a propagação da infecção inicial, a Microsoft agora tem evidências de que algumas das infecções ativas do ransomware foram observadas pela primeira vez a partir do processo legítimo de atualização do MEDoc. Isso fez com que fosse um caso claro de ataques à cadeia de suprimentos de software que se tornou bastante comum entre os invasores, já que precisa de uma defesa de nível muito alto.
A figura abaixo mostra como o processo Evit.exe do MEDoc executou a seguinte linha de comando. O vetor de interesse semelhante também foi mencionado pela Polícia Cibernética da Ucrânia na lista pública de indicadores de comprometimento. Dito isto, o Petya é capaz de
- Roubando credenciais e fazendo uso das sessões ativas
- Transferindo arquivos maliciosos entre máquinas usando os serviços de compartilhamento de arquivos
- Abusando vulnerabilidades de SMB em um caso de máquinas não corrigidas.
Mecanismo de movimento lateral usando roubo de credencial e representação acontece
Tudo começa com o Petya descartar uma ferramenta de despejo de credenciais, e isso vem em variantes de 32 bits e 64 bits. Como os usuários geralmente fazem login com várias contas locais, há sempre uma chance de que uma sessão ativa seja aberta em várias máquinas. As credenciais roubadas ajudarão Petya a obter um nível básico de acesso.
Feito isso, o Petya verifica a rede local em busca de conexões válidas nas portas tcp / 139 e tcp / 445. Em seguida, na próxima etapa, ele chama a sub-rede e, para cada usuário de sub-rede, o tcp / 139 e o tcp / 445. Depois de obter uma resposta, o malware copiará o binário na máquina remota, fazendo uso do recurso de transferência de arquivos e das credenciais que ele já havia roubado anteriormente.
O psexex.exe é descartado pelo Ransomware de um recurso incorporado. Na próxima etapa, ele verifica a rede local em busca de compartilhamentos admin $ e, em seguida, se replica na rede. Além do despejo de credenciais, o malware também tenta roubar suas credenciais, fazendo uso da função CredEnumerateW para obter todas as outras credenciais de usuário do armazenamento de credenciais.
Encriptação
O malware decide criptografar o sistema, dependendo do nível de privilégio do processo de malware, e isso é feito empregando um algoritmo de hash baseado em XOR que verifica os valores de hash e os usa como uma exclusão de comportamento.
Na próxima etapa, o Ransomware grava no registro mestre de inicialização e, em seguida, configura o sistema para ser reinicializado. Além disso, também usa a funcionalidade de tarefas agendadas para desligar a máquina após 10 minutos. Agora Petya exibe uma falsa mensagem de erro, seguida por uma mensagem real de resgate, como mostrado abaixo.
