Petya: El ransomware que aprendió de WannaCry

Compartir esta publicación:

La mañana de este martes 27 de junio comenzaron a circular reportes de que organizaciones en Ucrania y otras partes de Europa estaban sufriendo ataques de ransomware. Rápidamente quedó claro que este ataque de Petya podría igualar o superar el ataque de WannaCry de mayo pasado.

La propagación de WannaCry fue exitosa porque se aprovechó de una falla en Windows, y aunque Microsoft había lanzado un parche para corregir esta brecha, muchas compañías no lo aplicaron antes del brote. Por suerte, las empresas fuera de la zona de ataque inicial en Europa fueron capaces de proteger sus sistemas para evitar un mayor impacto.

Pero desafortunadamente, los autores de esta variante de ransomware han aprendido del pasado. El brote actual de Petya puede ser difundido a sistemas sin parche a través del mismo exploit que WannaCry, además de lograr un movimiento lateral para infectar sistemas parchados en redes conectadas usando Windows Management Instrumentation Command-line (WMIC) y PsExec, una herramienta de comando remoto de Microsoft.

¿Qué es Petya?

La mayoría de los nodos infectados reportaron el ransomware como Petya, sin embargo, algunos expertos en seguridad creen que es un imitador y no una variante Petya verdadera. En este momento, IBM X-Force ha identificado al menos tres muestras que actualizan variantes Petya.

Petya apareció por primera vez en 2016. Es único en el espacio del ransomware porque encripta el registro de arranque principal (MBR) y la tabla maestra de archivos (MFT) en hosts infectados. Uno de los aspectos diferenciales de Petya es que puede funcionar incluso si un sistema está fuera de línea, es decir, no requiere una conexión en vivo a un servidor de mando y control (C&C).

En este reciente brote, parece que Petya se está distribuyendo utilizando el mismo exploit EternalBlue que formaba parte de las llamadas fugas de Shadow Brokers que impulsaron la propagación de WannaCry. Como en el brote de WannaCry, este malware es modular.

Algunos detalles técnicos

El brote de Petya se apropió de los titulares por su rápida difusión el 27 de junio, pero la construcción de sus bloques no era nueva.

Movimiento lateral: SMB Wormholes

Una de las formas en que Petya se mueve y se propaga es escaneando el puerto 445 del protocolo de control de transmisión (TCP) para identificar y dirigir las máquinas que usan versiones sin parche del bloque de mensajes de servidor (SMB). Si les parece haber leído esto durante el brote de WannaCry, están en lo correcto. Es lo mismo.

Ejecución remota: EternalBlue, WMIC y PsEXEC

Los servicios de respuesta de incidentes e inteligencia de IBM X-Force (XF-IRIS) confirmaron que las muestras del brote actual utilizan EternalBlue. Desde la supuesta fuga de los Shadow Brokers, los exploits CVE-2017-0144 de EternalBlue, permiten a los atacantes ejecutar código arbitrario en un sistema de destino. Esto puede incluir un código que escanea la presencia de código exploit como DOUBLEPULSAR o escanear sistemas cercanos e intentar infectarlos con código exploit.

WMIC y PsExec no son vulnerabilidades: son herramientas de Microsoft para ayudar a administrar sistemas y redes. WMIC permite a los usuarios ejecutar procesos y scripts, mientras que PsExec permite a un usuario remoto tomar control de un sistema. En manos de los administradores, estas son herramientas importantes y útiles, pero cuando son intervenidas por un atacante, pueden ser usadas para instalar código malicioso, como Petya, en los sistemas destino.

Una vez en el sistema, el ransomware se copia en el directorio C:\Windows\ e instala un archivo PE en C:\Windows\dllhost.dat. Para cubrir su huella, el ransomware utiliza schtasks para crear un archivo de tarea que reiniciará el sistema a una hora programada. Para cubrirse aún más, el ransomware utiliza wevtutil.exe para borrar los registros de preferencias, sistema, seguridad y aplicaciones, y utiliza fsutil.exe para suprimir la información en el registro de cambios.

No paguen el rescate

Muchas empresas pueden verse tentadas a pagar el rescate para que sus sistemas vuelvan a estar en línea. A partir de este momento, lo más aconsejable es direccionar la segmentación de la red y las copias de seguridad para que en el futuro, si los sistemas están bloqueados, puedan ser desconectados y restaurados rápidamente.

Desde IBM Security recomendamos:

• Asegurarse que los sistemas estén parchados(MS17-010) y todos los programas antivirus actualizados.
• Determinar si los sistemas de respaldo están configurados de manera efectiva.
• Restaurar sólo desde copias de seguridad seguras.
• Aislar cualquier sistema sin parche para evitar el movimiento lateral de Petya.
• Verificar el monitoreo efectivo de todos los sistemas y redes críticas.
• Crear o mantener revisiones periódicas de la protección de credenciales privilegiadas para evitar un mayor acceso a través de herramientas legítimas a través de la red.
• Revisar la respuesta a incidentes y planes de contingencia.

Para más información: https://securityintelligence.com

Línea de urgencias: 1-888-241-9812 US, (001) 312-212-8034 fuera de EE.UU.

Y en IBM México a:

Edgar Reyna – Security Manager  –  55-2653-8867

Eduardo Palacio – Security IT Specialist –  55-2272-4719