O SOC da Real Protect está investigando e monitorando o último outbreak de ransomware que está afetando diversas empresas em todo o mundo. Esse ransomware é uma variante do “PETYA”. A Trend Micro publicou detalhes do ataque aqui. O potencial de infecção é comparável ao que foi observado durante o WannaCry. A Symantec confirmou que essa variante está usando a vulnerabilidade EternalBlue, a mesma utilizada pelo WannaCry.

Nosso laboratório também identificou que, diferente do WannaCry, o Petya se propaga via email spam, e uma vez dentro da rede, utiliza a ferramenta PSEXEC para realizar o ataque,  criptografando toda a partição da máquina afetada, modificando a MBR (master boot record) e encriptando o MFT (master file table), inviabilizando o acesso ao equipamento e solicitando o resgate conforme a tela a seguir:

prevenção ransomware petya

 

Os clientes de Serviços Gerenciados de Segurança da Real Protect já estão tendo as medidas de prevenção e mitigação implementadas em seu ambiente pelo SOC da Real Protect.

As recomendações da Real Protect até este momento são:

  • Garanta que os patches de correção estejam aplicados aos sistemas operacionais, especialmente os relacionados ao MS17-010. Para estações e servidores legados considere a utilização do Virtual Patching.
  • Bloqueie a execução do PSEXEC em servidores e estações. Sua ferramenta de controle de aplicação pode ser utilizada para este objetivo.
  • Garanta que a solução de IPS esteja com as assinaturas atualizadas e bloqueie todo tráfego ligado ao PETYA e PSEXEC.
  • Desabilite o SMBv1
  • Garanta que os usuários não utilizem privilégios administrativos locais em suas estações de trabalho
  • Mantenha a monitoração do ambiente e entre em contato caso identifique qualquer atividade suspeita

Antes de realizar as ações recomendadas, é importante avaliar o possível risco de impactos ao ambiente.

Informações Técnicas Adicionais:

  • Para soluções Trend Micro:
    • OfficeScan XG – Pattern 17356.008.96
    • Deep Security & Vulnerability Protection- Pattern DSRU-ID 17-016
      • 1008224 – Windows SMB RCE Vulnerabilities
      • 1008228 – Windows SMB RCE Vulnerability
      • 1008225 – Windows SMB RCE Vulnerability
      • 1008227 – Windows SMB RCE Vulnerability
      • 1008306 – Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
    • Deep Discovey Inspector – Rule ID 2383: CVE-2017-0144 – RCE – SMB (Request)
    • Tipping Point – filters: 27433, 27711, 27928
    • Predictive Machine Learning detecta SEM necessidade de lista (OSCE XG y WFBS)
    • Atualizar todas as patterns de seus produtos para a última versão disponível. O modelo “Smart Scan” versão 17356.008.96 já detecta esta ameaça.
  • Para soluções FortiGate: https://www.fortiguard.com/encyclopedia/virus/7422385/w32-ransom-eob-tr