1 jul 2017

Todo lo que se sabe y no se sabe de #NotPetya

Un ciberataque mundial llamado "WannaCry" del tipo gusano cripto- ransomware, causó estragos en todo el mundo a mediados de mayo de 2017. A los pocos días de su inicio, ya había infectado el Servicio Nacional de Salud del Reino Unido, la empresa española Telefónica y la alemana Deutsche Bahn. En total, más de 300.000 sistemas informáticos en +150 países se habían visto afectados.
Hace apenas dos días una, aparentemente, nueva variante más sofisticada del ransomware conocido como Petya (2016), llamado ahora por muchos Notpetya (o Petya.2017), atacó miles de equipos en diversas organizaciones, comenzando por Ucrania y continuando por otros 64 países, según informa Microsoft.

La lista de víctimas incluye:
  • Ucrania - Sistema de Monitoreo de Radiación de Chernobyl, Gobierno, Banco Central y Red de Energía.
  • Rusia - Rosneft, empresa estatal de energía.
  • UK - WPP Media, la compañía de servicios de marketing más grande del mundo.
  • Dinamarca - AP Moller-Maersk, la mayor compañía de transporte marítimo de contenedores del mundo.
  • EE.UU. - Merck, una compañía farmacéutica.
  • Francia - Saint Gobain, una empresa de construcción
  • DLA Piper - Uno de los bufetes de abogados más grandes del mundo

Funcionamiento

Este malware, como ocurría con Petya (2016), una vez que infecta el equipo desprotegido modifica el sector de arranque del disco rígido (MBR) del mismo y luego configura el sistema operativo para reiniciar a través de una tarea programada. Aquí se puede encontrar las diferencias entre un MBR modificada por el malware y una sin infectar.

Cuando el equipo se reinicia, muestra un mensaje falso que señala un supuesto error en la unidad de disco con su respectiva comprobación de integridad (también falsa), durante la cual NotPetya cifra la información según informa ESET Security Community. Cuando el cifrado se completa, el código del MBR muestra el mensaje del atacante que demanda un rescate de USD 300 en bitcoins para "recuperar" los archivos y permitir al ordenador arrancar el sistema operativo.

Si el sistema recién se infectó, se puede apagar y no volver a encender el equipo para evitar que se active el código malicioso.

¿Ransomware o Wiper?

Matt Suiche, hacker experto y fundador de Comae, afirma que en realidad NotPetya se trata de un "wiper", lo cual significa que a pesar de pagar el rescate solicitado, los discos duros son de igual forma borrados completamente. Por lo tanto, quienes resultaron víctimas del ataque no tendrían oportunidad de recuperar ni los archivos ni el sistema, porque no habrían sido secuestrados sino eliminados por completo.

Otros investigadores proclaman que las afirmaciones de Matt sobre la destrucción del MBR son falsas, argumentando que en cualquier sistema operativo Windows estándar no hay nada entre el sector 1 y el sector 64, lo que significa que los 24 sectores que Petya "destruye" no contienen nada en absoluto, y el desarrollador probablemente lo sabe. Además, este nuevo cambio no era ni siquiera parte de NotPetya, sino que se implementó en una versión mucho más antigua llamada GoldenEye.

De cualquier manera, la misma fuente sugiere que un bug (CryptEncrypt) en el uso del método de cifrado de NotPetya podría dejar algunos archivos dañados o indescifrables. Además, Malwarebytes, y ESET, confirman que la tabla de particiones (MFT) podría también ser indescifrable porque el malware cuando se instala genera 2 ID, uno que se muestra al usuario y otro que es el real y que no puede ser hallado; entonces, como el ID mostrado al usuario es inútil para descifrar el MFT, sería extremadamente difícil hacerlo. Esto es todo lo que se sabe hasta el momento y confirmaría la teoría inicial de Matt Suiche, de que en realidad se trata de un Wiper (intencional o no).

A los usuarios infectados se les aconseja no pagar el rescate, primero porque se alimenta el mercado de la ciberdelincuencia, segundo porque aparentemente no habría forma de recuperar la información y tercero porque los delincuentes detrás de NotPetya no pueden recibir los correos electrónicos ya que su proveedor suspendió la dirección utilizada por los delincuentes para comunicarse con las víctimas.

Primeras infecciones y propagación

Microsoft, junto a otras fuentes, tiene evidencia de que algunas de las primeras infecciones activas del malware comenzaron por el proceso de actualización legítimo de MEDoc, un software ucraniano de contabilidad de impuestos. Los ataques de cadena de suministro de software son un tipo nuevo de amenaza persistente avanzada (APT) que se aprovechan de una vulnerabilidad en el servidor que distribuye las actualizaciones de software.

Entonces el cliente se infecta al descargar e instalar estas actualizaciones, proceso que en muchos casos se realiza de forma automática. Costin Raiu de Kaspersky sugiere que hubo un segundo vector inicial de infección donde el sitio web de la ciudad ucraniana de Bahmut fue hackeado y utilizado para servir al malware. Investigaciones recientes de ESET revelaron que las infecciones en compañías fuera de Ucrania pueden deberse a que tenían establecidas conexiones VPN con sus partners en Ucrania. Otras fuentes confirman que la propagación de esta nueva amenaza se produce, al igual que la mayoría del ransomware, por correo electrónico pero es muy dificil hacer las investigaciones porque al querer reproducir el escenario ejecutando el supuesto adjunto malicioso, no se conecta a ningún C&C para descargar otros componentes del malware.

Malwaretech, en un post, establece que la diferencia importante entre NotPetya y WannaCry es que este último probablemente fue desplegado en un pequeño número de equipos y luego se extendió rápidamente a través de Internet, mientras que NotPetya parece haber sido desplegado en un gran número de computadoras y propagado únicamente a través de las redes locales.

Una vez que este código malicioso infectó un equipo, intenta esparcirse por la red interna a la cual está vinculado y afectar otros equipos haciendo uso de nuevas capacidades de movimiento lateral. La funcionalidad de propagación se compone de múltiples métodos:
  • El uso del exploit EternalBlue y EternalRomance (utilizados también por WannaCry).
  • El uso de herramientas legítimas: PsExec para ejecutar código remoto y WMIC (Windows Management Instrumentation Commandline) para probar las credenciales obtenidas de la máquina local usando Mimikatz como fuente. En otras palabras, el malware utiliza las sesiones activas de los usuarios del equipo infectado para poder acceder a otros equipos.
Por consiguiente, no es suficiente con aplicar el parche de Microsoft (MS17-010 -contra EternalBlue y EternalRomance) para estar exentos de este ataque.

Medidas de protección

Medidas generales:
  1. No abrir correos electrónicos de procedencia dudosa ni sus archivos adjuntos.
  2. No ingresar a enlaces de sitios web dudosos.
  3. Realizar respaldos offline de toda la información crítica de la organización.
  4. Intensificar las medidas de protección perimetrales en especial filtro de contenidos web y de correo electrónico.
  5. Mantener actualizado Windows, los sistemas Antimalware y todas las aplicaciones.
  6. Informar y educar a los usuarios sobre los métodos de infección utilizados por los ciberdelincuentes para estar prevenidos y minimizar los riesgos de ser víctima de ciberataques.
Medidas específicas:
  • Instalar el parche MS17-010 en todos los equipos con Microsoft Windows.
  • Deshabilitar SMBv1 siguiendo los pasos de esta guía oficial de Microsoft
  • Dado que la amenaza se dirige a los puertos 139 y 445, los clientes pueden analizar la posibilidad de bloquear cualquier tráfico en esos puertos.
  • Si el equipo es infectado no reiniciarlo, únicamente apagarlo.
  • Restringir la capacidad de ejecutar archivos con extensión .EXE en las carpetas %TEMP% y %APPDATA%.

Conclusiones

Al momento es probable que NotPetya esté intencionalmente corrupto de forma tal que la clave para descifrar el sistema y los datos no esté disponible. Sin embargo, todavía es eficaz en hacer que la gente pague el rescate. Por lo tanto, lo más probable es que no se trate de un ransomware sino de un Wiper ya que hasta el momento no hay forma de recuperar la información y el sistema cifrado ni de contactar con los delincuentes.

La protección más efectiva que una organización debe adoptar hoy, frente a las amenazas persistentes avanzadas, es un conjunto de medidas proactivas y preventivas por capas y orientadas a procesos de la seguridad de la información, haciendo especial atención a la capacitación de los usuarios.

Fuentes

Autor: Ing. Matías D. Adés para Segu-Info
Equipo AntiRansom

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!