Petya Ransomware / Il modus operandi di Wiper è vino vecchio in una nuova bottiglia

Il Petya Ransomware / Wiper sta creando scompiglio in Europa, e uno scorcio dell`infezione è stato visto per la prima volta in Ucraina quando più di 12.500 macchine sono state compromesse. La parte peggiore era che le infezioni si erano diffuse anche in Belgio, Brasile, India e anche negli Stati Uniti. Il Petya ha capacità di worm che gli consentiranno di diffondersi lateralmente attraverso la rete. Microsoft ha emesso una linea guida su come affronterà Petya,

Petya Ransomware / Wiper

Dopo la diffusione dell`infezione iniziale, Microsoft ora ha la prova che alcune delle infezioni attive del ransomware sono state osservate per la prima volta dal legittimo Processo di aggiornamento di MEDoc. Ciò ha reso un caso chiaro di attacchi alla supply chain del software che è diventato piuttosto comune con gli aggressori poiché ha bisogno di una difesa di livello molto alto.

l`immagine sotto mostra come il processo Evit.exe da MEDoc ha eseguito il seguente comando linea, vettore interessante è stato anche menzionato dalla polizia informatica ucraina nella lista pubblica degli indicatori di compromesso. Detto questo, Petya è in grado di

• Rubare le credenziali e fare uso delle sessioni attive
• Trasferimento di file dannosi su macchine utilizzando i servizi di condivisione file
• Abusare delle vulnerabilità SMB in un caso di macchine prive di patch.

Meccanismo di spostamento laterale con furto di credenziali e imitazione avviene

Tutto inizia con il rilascio da parte di Petya di uno strumento di dumping delle credenziali, disponibile nelle varianti a 32 e 64 bit. Poiché gli utenti di solito si collegano con diversi account locali, c`è sempre la possibilità che una delle sessioni attive sia aperta su più macchine. Le credenziali rubate aiuteranno Petya ad ottenere un livello base di accesso.

Una volta fatto, Petya analizza la rete locale per le connessioni valide sulle porte tcp / 139 e tcp / 445. Quindi, nel passaggio successivo, chiama subnet e per ogni subnet gli utenti tcp / 139 e tcp / 445. Dopo aver ricevuto una risposta, il malware copia il file binario sulla macchina remota utilizzando la funzione di trasferimento file e le credenziali che in precedenza era riuscito a rubare.

Il psexex.exe viene rilasciato dal Ransomware da una risorsa incorporata. Nel passaggio successivo, analizza la rete locale per le condivisioni admin $ e quindi si replica sulla rete. Oltre al dumping delle credenziali, il malware tenta anche di rubare le credenziali utilizzando la funzione CredEnumerateW per ottenere tutte le altre credenziali dell`utente dall`archivio credenziali.

Crittografia

Il malware decide di crittografare il sistema in base al livello di privilegio del processo di malware, e questo viene fatto impiegando un algoritmo di hashing basato su XOR che verifica i valori hash e lo utilizza come esclusione del comportamento.

Nel passaggio successivo, il Ransomware scrive sul record di avvio principale e quindi imposta il sistema per riavviare. Inoltre, utilizza anche la funzionalità delle operazioni pianificate per arrestare la macchina dopo 10 minuti. Ora Petya visualizza un messaggio di errore falso seguito da un messaggio di Ransom effettivo come mostrato di seguito.

Il Ransomware tenterà quindi di crittografare tutti i file con estensioni diverse su tutte le unità tranne C: Windows. La chiave AES generata è per unità fissa, e questa viene esportata e utilizza la chiave pubblica RSA a 2048 bit incorporata dell`aggressore, afferma Microsoft.