Comunicado de Acción de Emergencia (EAM) Ataque masivo de Ransomware PETYA. 27/06/ h

Transcripción

1 Comunicado de Acción de Emergencia (EAM) Ataque masivo de Ransomware PETYA 27/06/ h

2 Introducción En el día de hoy se ha producido un ataque masivo de Ransomware con vectores de propagación similares al producido en Mayo y denominado Wannacry, que ha afectado a diversas empresas de todo el mundo, en especial de Ucrania, Italia, España, Rusia, EEUU, UK y la India. El malware cifra el disco y pide un rescate de unos 300 en bitcoins. Análisis En este caso el ransomware está basado en uno ya existente denominado Petya, el cual ha sido modificado para propagarse usando de nuevo el exploit de SMBv1 (Eternal Blue) y otros fallos de seguridad publicados recientemente. El vector inicial de entrada parece que es un Vector de entrada La entrada inicial del Petya original es un correo electrónico que contiene un documento adjunto o un enlace incrustado. Diversos análisis parecen indicar que explota una vulnerabilidad de Office, seguramente la CVE , a través de un Excel adjunto. El correo parece provenir en todos los casos del dominio posteo.net. Es necesaria la interacción del usuario para la infección del equipo. 2. Vector de propagación Una vez infectado el equipo, el nuevo Petya se intenta propagar dentro de la red aprovechando la conocida vulnerabilidad de Microsoft MS Si las victimas estuvieran actualizadas y protegidas antes este parche, el malware intenta cifrar las carpetas compartidas de las mismas, a través de la herramienta de Microsoft psexec y el servicio WMIC. 3. Comportamiento Petya cifra el MFT del disco y modifica el master boot record (MBR) para cargarse al arranque e impedir el acceso al sistema. Cifra los ficheros que se corresponden con una lista de extensiones. 2

3 Durante este proceso aparece este texto. Si se apaga inmediatamente la máquina en este momento podemos salvar algunos ficheros (siempre y cuando no la encendamos de nuevo). Podremos recuperar los ficheros usando algún livecd. Continua Intentando infectar a otros equipos usando el EternalBlue, intenta cifrar las carpetas que otros equipos de la red están compartiendo y procede a reiniciar el ordenador infectado. Parece que desde la infección hasta el momento del reinicio, puede pasar una hora. Se añade una tarea al Task Scheduler de Windows que procederá al reinicio del equipo a los 60 minutos. Si la modificación del arranque es correcta muestra en pantalla una calavera que da paso a un texto en color rojo con las instrucciones para recuperar el equipo pagando el rescate. La dirección de a la que enviar los datos es wowsmith123456@posteo.net y ya ha sido dehabilitada, por lo que el pago del rescate ya no es efectivo. 3

4 Acciones a tomar Generales Poner al día en actualizaciones a todos los equipos con sistema operativo Microsoft Windows. Centrarse en los parches MS (mismo que Wannacry) y en el de Office basado en el CVE No se descarta que se usen otras vulnerabilidades como CVE y CVE Microsoft ha sacado parches en Junio para estas últimas, por lo que es primordial actualizar. 4

5 - Para la detección de equipos vulnerables en tu red, se puede usar un script de explotación remota del MS Esto cubrirá Wannacry y parte de los mecanismos de propagación de Petya. Parece que se ha descubierto un kill switch, es decir, un disparador que para el proceso de infección. Según algunos especialiestas, creando este fichero en las maquinas puede evitarse la infección (no comprobado): C:\Windows\perfc Forzar la actualización de los antivirus. A estas horas lo detectan un número importante, aunque no sabemos si una nueva variante será detectada. Clientes con el servicio de Security Guardian Remote contratado. El equipo de respuesta ante incidentes del Security Guardian ya se habrá puesto en contacto con usted, para ayudarle a hacer o realizar conjuntamente las modificaciones preventivas en los productos de seguridad contratados. Si tiene cualquier duda contacte con los guardianes asignados a su cuenta. Clientes con Forescout Se recomienda a los clientes con Forescout CounterACT que actualicen al último HPS Vulnerabilities si no lo han hecho este mes, y revisen la política de actualización de Windows para asegurarse que todos los equipos están actualizados. Si es necesario bajar el periodo de gracia de actualización de los equipos a 0 para asegurarse que tienen todos los parches críticos e importantes han sido instalados. Agregar políticas basadas en las plantillas de Wannacry, ya que usan el mismo vector de propagación (consultad el comunicado de Secura relativo a Wannacry). La política basada en los scripts en perl para la detección remota de la vulnerabilidad MS servirá para detectarlo tanto en usuarios corporativo como en invitados o equipos no gestionables. Lanzar a todos los equipos un script de creación del fichero c:\windows\perfc con la acción run script in Windows. Lanzar la orden de actualización de AV a todos los equipos y disminuir el periodo de gracia de antivirus desactualizados a 1 día en la política correspondiente. Clientes con Stormshield SES Son válidas las mismas recomendaciones realizadas en el comunicado de Wannacry: - Tener memory overflow activado como mínimo en LOW. 5

6 - Tener regla Block Exe File Creation al menos en zonas típicas de infección : %APPDATA%, %PROGRAMDATA% o a determinados programas (Powershell). Clientes con Palo Alto Wildfire/Threat Prevention - Actualizar content reléase delo threat prevention a o superior. - Wildfire ya clasifica las muestras conocidas como maliciosas y prohíbe su reenvío a los usuarios. Clientes con Bitdefender Antivirus - Bitdefender detinene actualmente las muestras analizadas. Asegurar la actualización de firmas en todos los equipos. Clientes con Clearswift web proxy - Activar el structure sanitization para evitar documentos malformados. Clearswift esta ofreciendo gratuitamente 3 meses de este módulo adicional para colaborar en la lucha de Wannacry y Petya. Clientes con Fortinet NGFW - Fortinet ha incluido rápidamente la firma de petya en su AV (W32/Petya.EOB!tr - W32/Agent.YXH!tr). Es importante forzar la actualización de firmas. - Los clientes con ATP o IPS están protegidos. Los datos y soluciones ofrecidos en este comunicado han sido generados tomando como validas tanto pruebas propias como afirmaciones de fabricantes, especialistas y otras empresa colaboradores, a fin de informar y ofrecer medidas preventivas o de protección a nuestros clientes del servicio Security Guardian lo antes posible. Debido a esto es posible que algunas afirmaciones realizadas en él no sean totalmente correctos o estén incompletos. Esperamos su compresión e informaremos de las novedades que puedan afectar. 6