Nova variant de Ransomware “Nyetya” compromet sistemes a tot el món

Els clients de Cisco estan protegits contra Nyetya. Nova variant de Ransomware "Nyetya" compromet sistemes a tot el món

En aquest article s'ofereix informació per ajudar a detectar comportament de virus. Cisco Talos estudia el comportament dels mateixos i es presenta les eines per mitigar aquests riscos.

Nota: Aquesta entrada de blog discuteix la investigació activa de Talos en una nova amenaça. Aquesta informació ha de ser considerada preliminar i serà actualitzada al llarg del dia. A peu d'aquesta publicació apareix l'URL de la font. ransomware Nyetya . Actualització 2017.06.27 6:00 pm EDT: Actualitzat per incloure algunes de les funcionalitats tècniques per al component de ransomware d'aquest atac.   ransomware Nyetya . Des dels atacs de ramsomware SamSam  que van atacar a les entitats de salut nord-americanes al març de 2016, Talos ha estat preocupat per la proliferació de ransomware a través de vulnerabilitats de xarxa sense pegats. Al maig de 2017, el ransomware d'WannaCry va aprofitar una vulnerabilitat en SMBv1 i es va estendre com un incendi forestal a través d'Internet. Avui ha sorgit una nova variant de codi maliciós que és força diferent de Petya que la gent s'ha referit a ella per diversos noms com Petrwrap i GoldenEye. Talos està identificant aquesta nova variant de codi maliciós com Nyetya. La nostra recerca actual ens porta a creure que la mostra aprofita EternalBlue i WMI per al moviment lateral dins d'una xarxa afectada. Aquest comportament és diferent de WannaCry, ja que no sembla ser un component d'escaneig extern. A més, també hi pot haver un vector psexec que també s'utilitza per a propagar internament. La identificació de el vector inicial ha demostrat ser més desafiant. Els primers informes d'un vector de correu electrònic no poden ser confirmats. Sobre la base dels comportaments observats, la manca d'un mecanisme conegut i viable de propagació externa i altres investigacions creiem que és possible que algunes infeccions puguin estar associades amb sistemes d'actualització de programari per a un paquet de comptabilitat d'impostos ucraïnès anomenat Médoc. Talos continua investigant el vector inicial d'aquest malware. Les regles de Snort que detecten els intents d'explotar MS17-010 estan disponibles des d'abril de 2017. Addicionalment, Talos ha posat a la llista negra mostres conegudes d'aquesta nova variant de ransomware a AMP.  

Funcionalitat de l'malware

En la nostra investigació sobre aquesta variant de ransomware, Talos va observar que els sistemes compromesos tenen un arxiu anomenat "Perfc.dat". Perfc.dat conté la funcionalitat necessària per a comprometre encara més el sistema i conté una sola funció d'exportació sense nom anomenada # 1. La biblioteca intenta obtenir privilegis administratius (SeShutdowPrivilege i SeDebugPrivilege) per a l'usuari actual a través de l'API de Windows AdjustTokenPrivileges. Si té èxit, el ransomware sobreescriurà el registre d'arrencada (MBR) en la unitat de disc anomenada PhysicalDrive 0 dins de Windows. Independentment de si el malware té èxit en sobreescriure el MBR o no, a continuació, procedirà a crear una tasca programada a través d'Schtasks per reiniciar el sistema una hora després de la infecció. Com a part de l'procés de propagació, el malware enumera totes les màquines visibles a la xarxa a través de NetServerEnum i després busca un port TCP 139 obert. Això es fa per a compilar una llista de dispositius que exposen aquest port i possiblement poden ser susceptibles de compromís. El malware té tres mecanismes utilitzats per propagar una vegada que un dispositiu està infectat: EternalBlue - la mateixa gesta utilitzada per WannaCry. Psexec: una eina d'administració de Windows legítima. WMI - Instrumental d'administració de Windows, un component legítim de Windows. Aquests mecanismes s'utilitzen per a intentar la instal·lació i execució de perfc.dat en altres dispositius per a propagar lateralment. Per als sistemes que no han aplicat MS17-010, l'exploit EternalBlue s'aprofita per a comprometre sistemes. Hem escrit sobre això anteriorment en la nostra cobertura de WannaCry. Psexec s'utilitza per executar la següent instrucció (on wxyz és una adreça IP) utilitzant el testimoni de Windows de l'usuari actual per instal·lar el malware en el dispositiu en xarxa. Talos segueix investigant els mètodes en què es recupera la "token de Windows de l'usuari actual" de la màquina.   C: \ WINDOWS \ dllhost.dat \\ wxyz -accepteula -s -d C: \ Windows \ System32 \ rundll32.exe C: \ Windows \ perfc.dat, # 1   WMI s'utilitza per executar la següent comanda que realitza la mateixa funció que anteriorment, però utilitzant el nom d'usuari i la contrasenya d'l'usuari actual (com a nom d'usuari i contrasenya). Talos segueix investigant com es recuperen les credencials de la màquina en aquest moment.   Wbem \ wmic.exe / node: "wxyz" / user: "username" / password: "password" "process call create" C: \ Windows \ System32 \ rundll32.exe \ "C: \ Windows \ perfc.dat \" # 1 "   Quan un sistema es compromet amb èxit, el malware xifra els arxius al host mitjançant el xifrat RSA de 2048 bits. A més, el malware neteja els registres d'esdeveniments en el dispositiu compromès mitjançant la següent comanda:   wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil USN deletejournal / D% c:  

cobertura

Els clients de Cisco estan protegits contra Nyetya a través dels següents productes i serveis. Advanced Malware Protection (AMP) és ideal per prevenir l'execució de l'malware utilitzat per aquests actors de l'amenaça. Els dispositius de seguretat de xarxa com NGFW, NGIPS i Meraki MX poden detectar activitats malicioses associades amb aquesta amenaça. AMP Threat Grid ajuda a identificar binaris maliciosos ia crear protecció en tots els productes Cisco Security. El correu electrònic i el web no han estat identificats com un vector atacant en aquest moment. A més, no hi ha elements C2 coneguts relacionats amb aquest malware en aquest moment. Els clients de el conjunt de regles de subscriptors de codi obert de Snort poden mantenir-se a el dia descarregant el paquet de regles més recent disponible per la seva compra en Snort.org.   Vegeu la notícia original completa: http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html