Nueva variante de Ransomware “Nyetya” compromete sistemas en todo el mundo

Ransomware "Nyetya"

Nueva variante de Ransomware “Nyetya” compromete sistemas en todo el mundo

Los clientes de Cisco están protegidos contra Nyetya. Nueva variante de Ransomware “Nyetya” compromete sistemas en todo el mundo

En este artículo se ofrece información para ayudar a detectar comportamiento de virus. Cisco Talos estudia el comportamiento de los mismos y se presenta las herramientas para mitigar estos riesgos.

Screenshot of a system compromised by Nyetya

Screenshot of a system compromised by Nyetya

Nota: Esta entrada del blog discute la investigación activa de Talos en una nueva amenaza. Esta información debe ser considerada preliminar y será actualizada a lo largo del día. Al pie de esta publicación aparece la URL de la fuente. Ransomware Nyetya.

Actualización 2017-06-27 6:00 pm EDT: Actualizado para incluir algunas de las funcionalidades técnicas para el componente de ransomware de este ataque.

 

Ransomware Nyetya. Desde los ataques de ramsomware SamSam  que atacaron a las entidades de salud estadounidenses en marzo de 2016, Talos ha estado preocupado por la proliferación de ransomware a través de vulnerabilidades de red sin parches. En mayo de 2017, el ransomware de WannaCry aprovechó una vulnerabilidad en SMBv1 y se extendió como un incendio forestal a través de Internet.

Hoy ha surgido una nueva variante de malware que es bastante distinta de Petya que la gente se ha referido a ella por varios nombres como Petrwrap y GoldenEye. Talos está identificando esta nueva variante de malware como Nyetya. Nuestra investigación actual nos lleva a creer que la muestra aprovecha EternalBlue y WMI para el movimiento lateral dentro de una red afectada. Este comportamiento es diferente de WannaCry, ya que no parece ser un componente de escaneado externo. Además, también puede haber un vector psexec que también se utiliza para propagarse internamente.

La identificación del vector inicial ha demostrado ser más desafiante. Los primeros informes de un vector de correo electrónico no pueden ser confirmados. Sobre la base de los comportamientos observados, la falta de un mecanismo conocido y viable de propagación externa y otras investigaciones creemos que es posible que algunas infecciones puedan estar asociadas con sistemas de actualización de software para un paquete de contabilidad de impuestos ucraniano llamado MeDoc. Talos continúa investigando el vector inicial de este malware.

Las reglas de Snort que detectan los intentos de explotar MS17-010 están disponibles desde abril de 2017. Adicionalmente, Talos ha puesto en la lista negra muestras conocidas de esta nueva variante de ransomware en AMP.

 

Funcionalidad del malware

En nuestra investigación sobre esta variante de ransomware, Talos observó que los sistemas comprometidos tienen un archivo llamado “Perfc.dat”. Perfc.dat contiene la funcionalidad necesaria para comprometer aún más el sistema y contiene una sola función de exportación sin nombre denominada # 1. La biblioteca intenta obtener privilegios administrativos (SeShutdowPrivilege y SeDebugPrivilege) para el usuario actual a través de la API de Windows AdjustTokenPrivileges. Si tiene éxito, el ransomware sobrescribirá el registro de arranque maestro (MBR) en la unidad de disco denominada PhysicalDrive 0 dentro de Windows. Independientemente de si el malware tiene éxito en sobrescribir el MBR o no, a continuación, procederá a crear una tarea programada a través de schtasks para reiniciar el sistema una hora después de la infección.

Como parte del proceso de propagación, el malware enumera todas las máquinas visibles en la red a través de NetServerEnum y luego busca un puerto TCP 139 abierto. Esto se hace para compilar una lista de dispositivos que exponen este puerto y posiblemente pueden ser susceptibles de compromiso.

El malware tiene tres mecanismos utilizados para propagar una vez que un dispositivo está infectado:
EternalBlue – la misma hazaña utilizada por WannaCry.
Psexec: una herramienta de administración de Windows legítima.
WMI – Instrumental de administración de Windows, un componente legítimo de Windows.
Estos mecanismos se utilizan para intentar la instalación y ejecución de perfc.dat en otros dispositivos para propagarse lateralmente.

Para los sistemas que no han aplicado MS17-010, el exploit EternalBlue se aprovecha para comprometer sistemas. Hemos escrito sobre esto anteriormente en nuestra cobertura de WannaCry.

Psexec se utiliza para ejecutar la siguiente instrucción (donde w.x.y.z es una dirección IP) utilizando el token de Windows del usuario actual para instalar el malware en el dispositivo en red. Talos sigue investigando los métodos en los que se recupera el “token de Windows del usuario actual” de la máquina.

 

C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1

 

WMI se utiliza para ejecutar el siguiente comando que realiza la misma función que anteriormente, pero utilizando el nombre de usuario y la contraseña del usuario actual (como nombre de usuario y contraseña). Talos sigue investigando cómo se recuperan las credenciales de la máquina en este momento.

 

Wbem\wmic.exe /node:”w.x.y.z” /user:”username” /password:”password” “process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\perfc.dat\” #1″

 

Una vez que un sistema se compromete con éxito, el malware cifra los archivos en el host mediante el cifrado RSA de 2048 bits. Además, el malware limpia los registros de eventos en el dispositivo comprometido mediante el siguiente comando:

 

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

 

Cobertura

Los clientes de Cisco están protegidos contra Nyetya a través de los siguientes productos y servicios.
Advanced Malware Protection (AMP) es ideal para prevenir la ejecución del malware utilizado por estos actores de la amenaza.

Los dispositivos de seguridad de red como NGFW, NGIPS y Meraki MX pueden detectar actividades maliciosas asociadas con esta amenaza.

AMP Threat Grid ayuda a identificar binarios maliciosos ya crear protección en todos los productos Cisco Security.

El correo electrónico y la web no han sido identificados como un vector atacante en este momento. Además, no hay elementos C2 conocidos relacionados con este malware en este momento.

Los clientes del conjunto de reglas de suscriptores de código abierto de Snort pueden mantenerse al día descargando el paquete de reglas más reciente disponible para su compra en Snort.org.

 

Vea la noticia original completa:

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

Share this post