El 27 de Junio de 2017, una vez más, cunde el pánico por un ataque ransomware a nivel mundial. Al principio parece similar a WannaCry. No es del todo erróneo, pero sólo porque usa EternalBlue. Parece que se identifica más con los ransomware de la familia Petya, aunque sólo la parte de boot loader parece haber sido extraída de ese conocido ransomware. Aún así, para entendernos, hablaremos de Petya o NoPetya indistintamente.
Vector de infección de NoPetya
Phishing (vía descartada)
El ataque pudo haber sido iniciado como tradicionalmente hacen los cibercriminales con el ransomware: mediante phishing. Aunque las pruebas de que esto fuese así cada vez son más débiles. La hipótesis de este vector de ataque se sustenta en una posible propagación de documentos de MS Office que explotarían una vulnerabilidad (CVE-2017-0199) de esa plataforma ofimática como vía de entrada a un equipo de la red y luego, de forma que detallaremos más adelante, se propagaría en la red local de los equipos infectados mediante ese primer vector. Se habla de que podría tratarse de un falso currículo alojado en Dropbox. Este documento sería enlazado desde un email fraudulento, aunque no disponemos de evidencias certeras.
Contaminación de software legítimo
Como decimos, la hipótesis del phishing, que no se descarta, podría no ser la única. Ni siquiera la principal. Otra hipótesis, con bastante repercusión en distintos medios, es la de que los atacantes habrían envenenado una actualización del software MEDoc que después habría sido lanzada a los usuarios, igual que las actualizaciones de casi cualquier software. Esta posibilidad ha sido desmentida por la empresa en un post de Facebook. Sin embargo, dada la alta incidencia del ransomware en Ucrania, así como del uso software de MeDoc en el país, no parece arriesgado concluir que pudiera haber sido así y que además se trate de un ataque a un estado.
Esta última teoría, la de infección mediante actualizcaión del software de MEDoc, ha sido validada por Microsoft indicando en un post de su blog oficial: New ransomware, old techniques: Petya adds worm capabilities
Como suele ocurrir en estos casos tan masivos, no está del todo claro cual es el vector o vectores de ataque pero no es descabellado pensar que inicialmente pudo haber más de uno, incluyendo los mencionados. En primer lugar por la brutal incidencia que ha habido en Ucrania y en segundo porque no está tan claro que tantísimos otros países puedan haberse visto afectados por un software que parece tan destinado a un mercado específico.
Propagación de NoPetya en red interna
Las empresas e instituciones más concienciadas cuentan con su protección perimetral y diversos sistemas de defensa a varios niveles, pero este ransomware Petya (o no Petya), al igual que WannaCry, desata su mayor potencial una vez que la primera computadora de una red se ve afectada. Cuando eso ocurre, emplea el mismo exploit que WannaCry para atacar otros equipos de la red. El conocido como EternalBlue.
EternalBlue explota una vulnerabilidad en SMBv1 para la que Microsoft ya publicó un parche de seguridad en Marzo de 2017. Sorprende que tras el ataque WannaCry, tantísimas empresas sigan sin aplicar las actualizaciones correspondientes ni deshabiliten el protocolo SMBv1 en sus equipos.
Además, NoPetya estaría aprovechando los protocolos WMIC y PSEXEC para ejecutar comandos de forma remota en otros equipos de usuarios del dominio en sistemas gestionados por Active Directory, por lo que se ha llegado a recomendar deshabilitar WMIC, siempre que sea posible, y en caso de que nos se pueda garantizar la seguridad frente a este ransomware por otras vías. De hecho la propagación a equipos de la red es más fácil cuando los usuarios infectados forman parte del dominio. En otros casos la propagación no es tan viable pero el equipo afectado quedará igualmente cifrado.
En resumen, NoPetya emplea el sistema de archivos compartidos, el robo de credenciales mediante mimikatz y las vulnerabilidades de SMBv1 para propagarse por la red e infectar a otros equipos conectados a la misma.
Qué cifra NoPetya
Según parece, dependiendo de los privilegios con los que se ejecute el malware, NoPetya es capaz de cifrar la MFT o Tabla Maestra de Archivos. En la MTF se almacena la estructura de archivos y todos los metadatos relativos al archivo (nombre, tamaño, atributos, localización del propio archivo, etc). Esto lo hace después de forzar un reinicio del equipo.
Una treta aprovechada por NoPetya es mostrar una pantalla que indica que está restaurando el sistema de archivos, como si fuese un proceso de seguridad normal de Windows. Sin embargo es una estratagema para que el usuario no interrumpa el proceso que realmente está teniendo lugar: el cifrado.
Si alguno de nuestros equipos se reinicia y vemos esa pantalla, debemos apagarlo inmediatamente puesto que esa pantalla enmascara el proceso de cifrado. Mientras no volvamos a encender el equipo los archivos estarán a salvo y podrán recuperarse desde otra computadora conectando el disco en modo lectura para luego hacer una instalación limpia.
La segunda opción por la que opta NoPetya es el cifrado clásico de archivos en función de su extensión. Curiosamente una lista de extensiones corta para lo que suelen hacer otros ransomwares. Sin embargo son extensiones de archivos clave entre los que se encuentran los asociados a ofimática, web, bases de datos…
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
El algoritmo de cifrado empleado por NoPetya es AES128 empleando la clave RSA pública de los atacantes.
Solicitud de rescate
La pantalla de solicitud de rescate de NoPetya indica el identificador de una cartera de Bitcoins en la que deben ingresarse el equivalente a 300 dólares. A continuación, los cibercriminales solicitan que se les envíe un email en el que se especifique el identificador de la cartera desde la que se ha hecho la transferencia y un número de identificación de la computadora.
Con esa información podrían verificar el pago y saber cual es la clave de cifrado aplicada en esa computadora. Acto seguido podrían responder al email con la clave de descrifrado que la víctima introduciría para recuperar su información.
En el siguiente pantallazo podemos ver el aspecto de dicha pantalla.
La cartera de Bitcoins de los autores del ataque NoPetya (1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX) ha recibido, en el momento de escribir este artículo, 40 transacciones como podemos ver en blockchain.info sumando más de 3,6 bitcoins. Las transacciones de entre 0,11 y 0,13 bitcoins son las correspondientes a pagos del rescate de unos 300 dólares. El total sumado hasta este momento equivale a 8.000€
NOTA IMPORTANTE SOBRE EL PAGO DE RESCATE
Parece ser que la cuenta de correo electrónico (wowsmith123456@posteo.net) creada para el pago de los rescates ha sido deshabilitada. Es decir, ya nadie puede recibir los mensajes que se le envíen. Así que aunque paguemos el rescate resultará imposible comunicárselo a los cibercriminales y que estos aporten la clave de descifrado.
Solución ReaQta-Hive
Como es habitual en los laboratorios de ReaQta Ltd, en cuanto consiguieron una muestra del ransomware lo enfrentaron a una máquina protegida por ReaQta-Hive.
En cuanto el malware entró en ejecución, ReaQta-Hive pudo analizar su comportamiento identificando tanto el relativo a la actividad ransomware. A continuación, haciendo click sobre cada imagen, podemos ver 3 detalles del análisis de incidente relacionado con la actividad ransomware.
- El árbol de procesos involucrados
- El detalle del proceso que desencadena el incidente
- El detalle de las actividades desarrolladas por el malware destacando la de ransomware.
La siguiente imagen muestra los procesos involucrados en la actividad de propagación del ransomware a otros equipos de la red local. Lo que se conoce como movimiento lateral.
ReaQta-Hive se basa exclusivamente en su Inteligencia Artificial para analizar el comportamiento de los procesos ejecutados en una computadora. De esa forma, ReaQta-Hive ha sido capaz de detectar y bloquear el ataque de este nuevo ransomware. Y todo ello sin necesidad de disponer de muestras previas del mismo, de sus firmas, hashes o de cualquier otro indicador de compromiso.
Si está interesado en obtener más información sobre la solución de respuesta a incidentes de ReaQta-Hive, escríbanos a info@proyectoalbedo.com.