O Ransomware é realmente o Petya?

O Petya é um ransomware que surgiu em 2016. Ele é conhecido por sobrescrever o MBR do sistema, bloqueando os usuários de utilizarem o sistema com uma tela azul. A tela deixa a mostra as informações de resgate. O Petya é um dos ransomware-as-a-service disponíveis no mercado negro, passando por diversas alterações desde que foi descoberto e até se juntou a um outro ransomware, o Mischa. Nesse período, o ransomware Petya-Mischa funcionou de forma modular – o Petya sobrescrevia o MBR enquanto o Mischa encriptava os arquivos.

A versão do Petya que esteve presente no outbreak combinava essas duas capacidades: após infectar o sistema, o Petya modificava o MBR e posteriormente encriptava os arquivos.

Tanto o Petya quanto o WannaCry utilizam o EternalBlue?

Sim e não. Explorar a vulnerabilidade EternalBlue é o último recurso do Petya – somente se os dois vetores de ataque principais não funcionarem, ele vai tentar explorar essa vulnerabilidade para infectar o sistema.

Mas quais são esses vetores de ataque? Essa variante do Petya vai primeiro usar uma versão modificada do PsExec, uma ferramenta legítima de administrador de sistema, para instalar o ransomware. Caso não tenha sucesso, ele abusa do Windows Management Instrumentation Command-line (WMIC), outra interface legítima de script, para executar o ransomware na máquina.

Diferente dessa versão do Petya, o WannaCry apenas se utiliza do EternalBlue, uma vulnerabilidade no SMB que afeta os endpoints e encripta seus arquivos.

O Petya realmente possui um KillSwitch?

Mais uma vez, a resposta é sim e não. O killswitch do WannaCry envolvia um domínio que prevenia o ransomware de ser executado quando checado/trigado.

O Petya não possui um killswitch propriamente dito, mas em ordem para proceder com sua rotina de script, ele vai procurar por um arquivo específico no sistema infectado, que na verdade é criado pelo Petya.  O Petya então checa por esse arquivo com o seu nome corrente na pasta Windows. Isso significa que o nome do arquivo checado pelo Petya pode ser modificado. O encriptador do Petya utiliza um PsExec modificado embutido no ransomware que é renomeado para DLLHOST.DAT

O que o PsExec tem a ver com isso?

A cadeia de ataque do Petya envolve usar o PsExec, uma ferramenta de linha de comandos do Windows que permite aos administradores executar comandos ou executar arquivos em sistemas remotos. Note que para essa versão do Petya, ele abusa de dois componentes/executáveis – PSEXEC.exe, renomeado no ransomware como dllhost.exe, que é utilizado para acesso remoto, enquanto o PSEXESVC.exe vai ser executado no sistema uma vez que a requisição do PSEXEC.exe seja estabelecida.

Petya utiliza ações que evadem a segurança tradicional e abusa de soluções legítimas para atingir o objetivo. O sample de Petya analizado é um DLL carregado por outro executável legítimo, o rundll32.exe, que normalmente executa e carrega códigos em DLL’s contendo rotinas de diversos programas e aplicações.

Então, por quê o PsExec importa? Em conjunto com o rundll32, esse executável é legítimo e, consequentemente, whitelisted. PsExec é uma ferramenta de administração de sistema, enquanto o rundll32 mantém os programas. Infelizmente, a natureza desses executáveis é o que os torna viáveis de serem explorados pelos criminosos.

As recomendações da Real Protect até este momento são:

  • Garanta que os patches de correção estejam aplicados aos sistemas operacionais, especialmente os relacionados ao MS17-010. Para estações e servidores legados considere a utilização do Virtual Patching.
  • Bloqueie a execução do PSEXEC em servidores e estações. Sua ferramenta de controle de aplicação pode ser utilizada para este objetivo.
  • Garanta que a solução de IPS esteja com as assinaturas atualizadas e bloqueie todo tráfego ligado ao PETYA e PSEXEC.
  • Desabilite o SMBv1
  • Garanta que os usuários não utilizem privilégios administrativos locais em suas estações de trabalho
  • Mantenha a monitoração do ambiente e entre em contato caso identifique qualquer atividade suspeita

 

Fique atento para futuros updates.