¿Petya o Notpetya? La cuestión es que PUEDES detener este (ransomware) wiper

Una nueva variante de ransomware-wiper ha sido visto en varias ubicaciones del globo, expandiéndose con mucha rapidez y nadie se pone de acuerdo en principio sobre su orirgen o familia. Al principio se ha sugerido que se trataba de una nueva variante de Petya, pero desde Kaspersky Labs y otros laboratorios se sugiere que es totalmente diferente y por tanto se ha dado en llamar NotPetya.

Este malware se expande, hasta el momento, utilizando dos exploits diferentes. No es necesario que el usuario realice acción alguna, sino que puede expandirse mediante la red. Por eso es por lo que este caso es especialmente grave y se deben tomar medidas urgentes para actualizar los sistemas informáticos.

Finalmente se ha comprobado que, aunque basado en el código de Petya para aplicar el algoritmo de cifrado, se trata de un wiper que destruye los archivos. Lee al final del artículo para más información.

¿Ransomware Petya / NotPetya? Se trata de un wiper

El aparente ransomware ha afectado a un buen número de empresas y entidades gubernamentales a escala internacional. A continuación podemos ver el ransomware NotPetya en acción cuando nos comunica la infección de los archivos:

Entre los afectados

• Una empresa que gestiona una planta de energía en Ucrania, así como el principal aeropuerto de Kiev.
• La planta nuclear de Chernobyl ha tenido que comenzar a medir sus niveles de radiación manualmente, después de verse obligados a apagar las máquinas con Windows que venían utilizando.
• Un avión de la firma rusa Antonov ha sido afectado.
• El sistema de metro de Kiev ha dejado de aceptar pagos con tarjeta, al verse afectada esta plataforma de pago

Hay muchos más, y la lista crece. Podríamos hablar de una empresa que opera hospitales en EEUU, una empresa de comida preparada (que fabrica las galletas Oreo, por cierto), la empresa de transportes holandesa TNT o el bufete de abogados DLA Piper, entre otros.

A continuación podéis ver un análisis de comportamiento de Petya, que incluye una demostración de dicho malware en acción.

La dirección de Bitcoin que aparece en la captura ha registrado hasta 32 transacciones hasta el momento:

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

La cantidad de dinero a ingresar para recuperar los ficheros es, al cambio, la típica en estos casos: unos 300 dólares americanos.

Expansión de Petwrap / Notpetya

Para aquellos con mayor entendimiento, este ataque por ransomware utiliza una vulnerabilidad en Microsoft Office producida al manejar documentos RTF o Rich Text Format. También se utiliza una vulneraibilidad ya reportada en Wannacry, la que hace referencia al protocolo SMB v1 o lo que es lo mismo, el protocolo Server Message Block de Windows (EternalRomance / EternalBlue).

Para capturar las credenciales necesarias para saltar de un equipo a otro, se utilizan herramientas específicas. De hecho se ha comprobado que comparte código con Mimikatz. Estas herramientas extraen las credenciales del proceso lsass.exe en Windows.

lsass.exe o Local Security Authentication Server es un servicio que verifica la validez de los inicios de sesión en nuestro equipo. Lsass genera el proceso responsable del inicio de sesión para el servicio «winlogon».

Tras la extracción, las credenciales se pasan a herramientas PsExec o WMIC para su distribución dentro de la red.

También se ha comprobado que se expande mediante la infección de un módulo de actualización de terceros, utilizado en Ucrania, de nombre MeDoc.

Un solo equipo presente en una red y con privilegios administrativos podría infectar a todos los demás equipos a su alrededor, mediante WMI o PSEXEC.

Comportamiento de NotPetya

Según estudios realizados por laboratorios como Kaspersky, debemos tener en cuenta 3 comportamientos detectados:

• Reinicio: El malware espera por un período entre 10 y 60 minutos, tras la infección, para reiniciar el sistema. Esto se consigue utilizando herramientas propias del sistema como schtasks o shutdown.exe. Una vez se reinicia, comienza a encriptar la tabla MFT presente en particiones de tipo NTFS, sobreescribiendo la MBR con un «cargador de arranque» personalizado que contiene una ransom note o demanda de pago.

• Escaneo de red: Después, el malware reconoce y enumera todos los adaptadores de red, servidores de nombres mediante NetBIOS y además la lista de concesión de DHCP actual. Cada IP detectada en la red local y cada máquina será entonces sujeta a un escaneo de puertos en 139 y 445. De estar abiertos dichos puertos, serán atacados utilizando los medios antes comentados.
• Extracción de credenciales: varios recursos del binario malicioso contienen dos versiones de una herramienta independiente que intenta extraer las contraseñas y usuarios de los usuarios cuya sesión esté iniciada en el equipo o dominio. Estos datos se enviarán después al ejecutable principal con un GUID aleatorio para su análisis.

¿Qué medidas puedo o debo tomar?

• Si aún no lo has hecho, actualiza inmediatamente tus sistemas o servidores Windows para instalar el parche MS17-010 de Microsoft.
• No abras (y transmite este mensaje a tus empleados) ningún archivo adjunto no solicitado o confiable.
• Bloquea el acceso mediante red al puerto 445 en tus estaciones de trabajo, al menos de manera inicial si no has parcheado a tiempo, o bien si no lo necesitas.
• Realiza copias de seguridad regulares. Prueba la efectividad de las mismas (realiza alguna simulación de un escenario de recuperación real). Además, tus backups deberían estar fuera de la red o equipo que utilices para tus actividades diarias.
• Actualiza las definiciones de virus de tus productos antimalware. No olvides revisar el siguiente enlace de VirusTotal si quieres comprobar qué antivirus o antimalware es capaz de detectar, actualmente, NotPetya o Petwrap.

Más información y reglas Yara en la web de Kaspersky.

¿Qué hay del kill switch de Petya?

Un investigador de ciberseguridad llamado Amit Serper ha publicado una sencilla forma en la que podemos detener la ejecución del malware en nuestro equipo, en base a lo que parece ser un error de programación en él.

Cabe decir varias cosas y la primera es que no se trata de un Kill switch (botón de apagado). Es decir, que se trata de una vacuna que podemos poner al sistema pero no impedirá que el ransomware pueda ejecutarse. Aunque sí, protegerá nuestros archivos ya que no llegará a cifrarlos.

Para vacunar nuestro Windows simplemente debemos de crear un archivo llamado perfc, sin ponerle extensión, colocando este en %windir& (lo que viene siendo nuestro directorio de Windows local), como podemos ver a continuación. El archivo debe ser de solo lectura.

Lawrence Abrams ha desarrollado un archivo batch que lo hace automáticamente. Podéis descargarlo en Bleeping Computer.

 

---

ACTUALIZADO A 29/06/2017

Diferentes análisis posteriores realizados sobre este aparente ransomware han demostrado que no se trata de un malware que secuestra archivos, no exige un pago y después los desbloquea. En realidad se trata de un malware denominado «wiper» que simplemente destruye los archivos sin posibilidad de recuperar el control sobre ellos jamás.

Se ha pretendido que se comportase como un ransomware para despistar a los medios (que solo hablan de ese tema últimamente) y camuflar un poco el hecho de que esta ha sido una campaña especialmente dirigida contra Ucrania. Es decir, les convenía que esto apareciese ante los medios como un ataque lanzado por una banda criminal, en lugar de un caso de ataque masivo organizado por un estado de la región, posiblemente.

No pagues porque nunca recuperarás los archivos

Si has leído el resto del artículo, sabrás que el malware NotPetya / Petwrap encripta la Master File Table o MFT del disco, para dejar el MBR o registro maestro de arranque inutilizable. Lo que se consigue con eso es restringir el acceso al sistema. Después, este MBR es sustituído por uno encriptado y es reemplazado con el código encargado de mostrar la demanda de pago.

Ahora bien, como rezan los análisis posteriores de este malware:

Hemos analizado el código de alto nivel de la rutina de cifrado, y hemos visto que tras el cifrado, el propio atacante sería incapaz de descifrar a las víctimas. […] Para descifrar el disco de una víctima un atacante necesita la ID de instalación. En versiones anteriores de ransomware como Petya / Mischa / GoldenEye este ID de instalación contenía la información necesaria para obtener la clave de recuperación.