Краткая информация о угрозе: Petya Ransomeware

Вкратце о ситуации

Эта статья содержит обновленную информацию об угрозе, связанной с атаками с использованием Petya Ransomware, которые влияют на работу организаций на Украине, в России и в меньшей степени во всем мире.

27 июня 2017 года нам стало известно о новом варианте вредоносного ПО «Petya», распространяющегося несколькими способами. Один из методов включает в себя инструмент эксплойта ETERNALBLUE. Это тот же самый эксплойт, который использует WanaCrypt0r / WannaCry для распространения в глобальном масштабе в мае 2017 года. По меньшей мере, 50 организаций сообщили о последствиях вредоносного ПО, включая правительственные и критически важные операторы инфраструктуры. Большинство влиятельных организаций расположены в Украине, но глобальные организации с офисами в Украине видели распространение вредоносного ПО в пределах своей сети через национальные границы.

Palo Alto Networks документирует свои возможности по предотвращению этой угрозы в блоге Palo Alto Networks Protection для Petya Ransomware. Пользователи Windows должны предпринять следующие общие шаги, чтобы защитить себя:

  • Применить обновления безопасности в MS17-010
  • Блокировать входящие соединения в TCP-порту 445
  • Создавайте и поддерживайте хорошие резервные копии, чтобы при возникновении заражения вы могли восстановить свои данные.
  • Это развивающаяся ситуация, мы обновим этот блог, когда появится новая информация. Пользователи AutoFocus просматривают образцы с помощью тега Petya.

Обзор атаки

Petya — это семейство Ransomware, которое работает, изменяя главную загрузочную запись системы Windows (MBR), в результате чего система вылетает из строя. Когда пользователь перезагружает свой компьютер, модифицированный MBR предотвращает загрузку Windows и отображает поддельный экран «chkdisk», который указывает, что компьютер исправляет жесткий диск, но вредоносная программа фактически шифрует файлы пользователей. Когда этот процесс завершается, вредоносное ПО отображает примечание ASCII Ransom, требующее выкупа от жертвы.
Последняя версия Petya ransomware распространяется на Windows SMB и, как сообщается, использует инструмент эксплойта ETERNALBLUE, который включает CVE-2017-0144 и был первоначально выпущен группой Shadow Brokers в апреле 2017 года.

После взлома системы жертву попросят отправить 300 долларов США в биткойне на конкретный адрес биткойна, а затем отправить электронное письмо с идентификатором биткойн-кошелька жертвы в wowsmith123456 @ posteo [.] Net, чтобы получить свой индивидуальный ключ дешифрования. Posteo (бесплатный провайдер электронной почты) уже закрыл этот адрес электронной почты, и поэтому такие жертвы не должны даже пытаться выплатить выкуп. По состоянию на 13:00 UTC 28 июня примерно 4 биткойна были переведены на кошелек нападавших.

Жизненный цикл атаки

Мы знаем следующую информацию о том, как работает жизненный цикл атаки Petya.

  • Доставка / Эксплуатация

Мы еще не подтвердили начальный вектор инфекции для этого нового варианта Petya. Предыдущие варианты распространялись по электронной почте, но мы не идентифицировали этот последний образец, который был перенесен в любых атаках, связанных с электронной почтой.

Хотя мы не смогли напрямую подтвердить источник, мы видели доказательства того, что украинское программное приложение, называемое MEDoc, использовалось злоумышленниками для доставки DLL Petya. Программное обеспечение активно используется в Украине, видимо, что системы компании могут быть скомпрометированы и использованы для выпуска вредоносного обновления для систем, запускающих программу утром 27 июня. Этот инфекционный вектор помогает объяснить высокую концентрацию инфекций в Украине.

  • Монтаж

Этот вариант Petya распространяется как DLL-файл, который должен выполняться другим процессом, прежде чем он начнет действовать в системе. После выполнения он перезаписывает главную загрузочную запись и создает запланированную задачу для перезагрузки системы. После перезагрузки системы вредоносная программа отображает фальшивое «chkdisk» сканирование, которое обманывает жертву, полагая, что программа восстанавливает свой жесткий диск. На самом деле вредоносная программа шифрует основную таблицу файлов NTFS в фоновом режиме. Как только фиктивный chkdisk завершается, вредоносное ПО отображает выкупную купюру, которая требует оплаты в биткойне в размере 300 долларов.

  • Управление и контроль

Petya не содержит механизмов управления и контроля, о которых мы знаем. После заражения хоста, сообщение от вредоносного ПО обратно к злоумышленнику отсутствует.

  • Попытки перемещения угроз в другие важные сегменты сети Petya для распространения на дополнительные хосты

Petya сканирует хост, чтобы обнаружить перечисление ADMIN $ акций на других системах, затем копирует себя на эти хосты и запускает вредоносное ПО с использованием PSEXEC. Это возможно только в том случае, если зараженный пользователь имеет права на запись файлов и их выполнение на системном хостинге.

Petya использует инструмент командной строки инструментария управления Windows (WMIC) для подключения к узлам локальной подсети и пытается удаленно выполнять их на этих узлах. Он может использовать Mimikatz для извлечения учетных данных из зараженной системы и использования их для выполнения на целевом узле.

  • Наконец, Petya пытается использовать средство эксплойта ETERNALBLUE для хостов в локальной подсети. Это возможно только в том случае, если целевой хост не имеет развернутых патчей MS17-010.

Вывод

Атаки Ransomware очень распространены, но они редко сочетаются с эксплойтом, который позволяет вредоносному ПО распространяться как сетевой червь. Атаки WannaCry в мае 2017 года продемонстрировали, что многие системы Windows не были исправлены для этой уязвимости. Распространение Petya с использованием этой уязвимости указывает на то, что многие организации все еще могут быть уязвимыми, несмотря на то, что внимание WannaCry было уделено.

29.06.2017

Хотите быть в курсе последних событий?