Artigos



Surto de Petya Ransomware prova que o WannaCry foi apenas o começo

Petya Ransomware, qual o impacto?

Caro leitor,
Na terça 27 de junho de 2017, as notícias inundaram a mídia dominante sobre um grande surto de Petya Ransomware que afetou vários países ao redor do mundo. A F-Secure acompanhou de perto a situação e assegurando que nossos produtos possam lidar com a ameaça em conformidade.
Este artigo contém mais informações sobre Petya, como isso afeta usuários e etapas que os administradores podem tomar para melhorar a segurança das máquinas sob seus cuidados.

A situação em 28 de junho de 2017

Começando no final da noite de terça-feira 27 de junho de 2017, houve relatos na mídia convencional de ataques de resgate em vários países ao redor do mundo. A ameaça foi relatada afetando empresas de transporte marítimo, grandes corporações, serviços públicos nacionais, instalações de transporte público e outros serviços públicos. O Ransomware responsável pelas infecções é conhecido como Petya, Petrwrap, NotPetya, Petna e GoldenEye.

As estatísticas dos dados de telemetria da F-Secure Labs indicam que até agora, apenas um número insignificante de nossos usuários de produtos globalmente relataram encontros com essa ameaça, na qual foram identificados e bloqueados com sucesso. Continuamos a acompanhar de perto a situação em curso, mas, desde o momento da redação, tem visto um impacto direto nos nossos clientes.
O impacto de ter até mesmo uma máquina infectada com Petya pode ser significativo para uma organização afetada. Este comunicado pretende, portanto, fornecer detalhes sobre como os usuários normalmente encontram a ameaça e as etapas que a rede ou os administradores de sistemas podem tomar para melhorar a segurança de suas estações de trabalho, servidores e usuários.

Sobre o Petya

Petya é ransomware – um programa malicioso que é usado para extorquir dinheiro de um usuário afetado ou organização. Ao contrário do ransomware normal, a Petya não afeta diretamente os arquivos em um computador; Em vez disso, ele almeja o próprio sistema operacional criptografando. Arquivos relacionados ao processo de inicialização ou inicialização do computador. Uma vez que esses arquivos são criptografados, o uso normal da máquina afetada torna-se impossível.
Tal como acontece com todos esses ransomware (também conhecido como crypto-ransomware), a descriptografia de
Arquivos afetados sem a chave de descriptografia necessária é extremamente difícil, tornando a remoção ou remediação um desafio bastante significativo.
Se ocorrer uma infecção, recomendamos a restauração de todos os arquivos através de backups, ao invés de pagar pelo resgate.

Vetor de Infecção

No momento da escrita, o vetor de infecção inicial para o Petya Ransomware ainda não foi confirmado.
Uma vez que está presente em uma máquina na rede, foi descoberto que o Petya Ransomware usa a ferramenta de exploração EternalBlue para encontrar outras máquinas vulneráveis na rede, potencializando seu impacto em uma organização.

Esta ferramenta visa conhecidas vulnerabilidades no Window’s Server Messaging Block (SMB).
A ferramenta EternalBlue usada para alavancar as vulnerabilidades é notável por ser publicamente exposto em um vazamento de dados supostamente roubados da Agência Nacional de Segurança Nacional(NSA) e publicado on-line pelo grupo de hackers conhecido como “The Shadow Brokers”.
Um patch para as vulnerabilidades direcionadas já foi lançado em março de 2017, MS017-010 Security Bulletin publicado pela Microsoft para todas as versões suportadas de Windows. Todos os sistemas não apresentados permanecem vulneráveis e, portanto, podem ser atacados.

Infecção

O ransomware é distribuído como um arquivo DLL. Uma vez executado, cria uma tarefa agendada para reiniciar o computador afetado em uma hora.
Enquanto aguarda a reinicialização, o malware tenta propagar-se a qualquer acesso em máquinas conectadas na rede. Para fazer isso, ele examina a rede para, correspondendo aos endereços de IP e os coleta; Então explora as vulnerabilidades SMB para soltar uma cópia de si mesma na máquina vulnerável e assim também infectando a máquina alvo.
Uma vez que a tarefa agendada executa e reinicia a máquina, o malware interfere o processo de inicialização normal, criptografando a tabela de arquivos mestre (MFT) para partições NTFS e substituindo o Master Boot Record (MBR) do computador por um carregador de inicialização personalizado.
Enquanto isso, o malware exibe uma mensagem semelhante à uma operação CHKDSK para enganar o usuário e ele assim pensar que um processo normal está ocorrendo. Veja um exemplo da imagem abaixo:

Uma vez que a criptografia está concluída, o bootloader exibe a demanda de resgate, veja um exemplo da imagem abaixo:

Detecções

A partir do momento da escrita, a F-Secure detecta todas as variantes conhecidas do Petya Ransomware com múltiplas detecções de assinatura. As detecções incluem, mas não são limitado a:

  • Trojan.Ransom.GoldenEye.B – released in the 2017-06-27_10 Aquarius
    database published at 1519hrs UTC on 27 June 2017
  • Trojan.Ransom.GoldenEye.C – released in the 2017-06-27_11 Aquarius
    database published at 1744hrs UTC on 27 June 2017
  • Trojan.Ransom.GoldenEye.D – released in the 2017-06-27_12 Aquarius
    database published at 1857hrs UTC on 27 June 2017
  • Trojan.Ransom.GoldenEye.E – released in the 2017-06-27_13 Aquarius
    database published at 2004hrs UTC on 27 June 2017
  • Trojan.Ransom.GoldenEye.F – released in the 2017-06-27_14 Aquarius
    database published at 2104hrs UTC on 27 June 2017
  • Trojan.Ransom.GoldenEye.G – released in the 2017-06-27_14 Aquarius
    database published at 2104hrs UTC on 27 June 2017
  • Trojan:W32/Petya.F – released in the 2017-06-27_01 Hydra database
    published at 1533hrs UTC on 27 June 2017
  • Trojan:W32/Petya.G – released in the 2017-06-27_01 Hydra database
    published at 1533hrs UTC on 27 June 2017

Como de costume, estamos trabalhando continuamente na criação de genéricos e atualizando detecções por esta ameaça para melhorar nossa cobertura e desempenho. Assim sendo, recomendamos que todos os produtos sejam atualizados com a última detecção. Atualizações de banco de dados para garantir cobertura total e proteção.

Ações

As seguintes ações devem ser tomadas pelos administradores do sistema para melhorar a segurança das estações de trabalho, servidores e usuários sob seus cuidados.

PARA WINDOWS: O seguinte conselho é aplicável para todos os sistemas Windows.

  1. Aplicar os updates de segurança: Identifique os endpoints sem os patches emitidos pela Microsoft (4013389) com o Software Updater ou outra ferramenta disponível, e repare-os imediatamente.
  2. MS017-010 Security Bulletin para as versões suportadas do Windows: As vulnerabilidades visadas pela ferramenta de exploração EternalBlue já foram abordadas no Boletim de Segurança MS-010-017 de março de 2017 para todos as versões do Windows suportadas. Identifique todas as máquinas sem o patch e assegure-se de que a correção seja aplicada a máquina o mais rápido possível. Para mais inforamções: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  3. Atualizações especiais para versões do Windows não suportadas:  A microsoft deu um passo incomum de emitir versões de segurança para a mesma vulnerabilidade para versões anteriores do Windows que já não são suportadas oficialmente. Inclui o Windows XP e Windows 7. Usuários ou administradores de máquinas com essas versões mais antigas são aconselhados a consultar o blogspot da Microsoft para obter mais detalhes e aplicar os patches mais relevantes o quanto antes. Para mais informações: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  4. Desasbilite o SMBv1: Caso não consiga repará-lo imediatamente, recomendamos desativar o SMBv1 com as etapas documentadas no artigo 2696547 da Microsoft Knowledge Base, a fim de reduzir a superfície de ataque.
  5. Configure o firewall: Bloqueie a porta 445 para todos os sistemas internos e voltados para a internet do Windows para evitar que as estações de trabalho fiquem infectadas. Bloqueio 445 de saída dos servidores para evitar que os servidores espalhem o Petya dentro do ambiente. Alternativamente, você pode configurar
    Política de Firewall F-Secure para a sua configuração mais alta, que possui regras predefinidas para bloquear a
    ataque.

PARA PRODUTOS F-SECURE: O seguinte conselho é aplicável para todos os produtos de segurança F-Secure.

  1. Habilite o DeepGuard e Real-Time Protection: Ative o DeepGuard e Real-Time Protection em todas as suas máquinas para garantir cobertura máxima.
  2. Assegure que o produto esteja atualizado: Certifique-se de que o produto foi atualizado para receber os bancos de dados de detecção mais recentes. Para verificar se o seu produto possui as últimas atualizações, consulte: https://community.f-secure.com/t5/F-Secure-SAFE/How-do-I-know-that-I-have-the/ta-p/82268
  3. Habilite o Firewall: Certifique-se de que o firewall F-Secure esteja ativado com as configurações padrões

 

Referências

Petya Ransomware Outbreak Proves WannaCry was Only the Beginning

Customer Guidance for WannaCrypt attacks

https://www.f-secure.com/v-descs/trojan_w32_petya_f.shtml

https://technet.microsoft.com/en-us/library/security/MS17-010

https://www.f-secure.com/en/web/labs_global/inform-us

 

 





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2020. Todos os direitos reservados.
Criação ZWA