Ayer 27 de Junio entorno a las 13:00 comenzaron a caer varios sistemas en múltiples empresas, algunas por fallo crítico (encriptación de equipos) y otras por precaución ante infecciones puntuales, todo ello generando gran expectación por ser el gran ransomware después de WannaCry, y es que volvemos a suspender en temas de seguridad.
Desde grupos de Telegram veía comentarios de contactos donde varios equipos habían sido afectados, desde páginas de noticias se relataba como empresas, bancos y terminales de cajeros mostraban una pantalla solicitando el pago de 300$ en bitcoins para restablecer los datos, y es que seguimos tropezando con la misma piedra, sigue sin valorarse aspectos como seguridad o incluso respaldo de datos como medida de emergencia, priorizándose los ahorros en costes, pero resumamos qué ha hecho y cómo ha actuado este bicho.
¿Petya? ¿Petwrap? No, es una variante evolucionada bautizada como NotPetya.
Petya fue un ransomeware que surgió en marzo para aprovecharse de la misma vulnerabilidad EthernalBlue que se filtró del arsenal digital de la NSA americana, pero se han añadido algunas variaciones en su propagación.
¿Cómo entra NotPetya en la red local o corporativa?
El sistema parece que es el mismo usado por Petya, ingeniería social lo llaman, y es que se trata de un simple spam masivo enviando un correo de un supuesto candidato con un currículum y un par de fotos del mismo, robadas con total certeza pero que dejarán al pobre "héroe" en memoria de Google hasta la eternidad.
La foto del falso candidato |
Esta información era colgada en un enlace de dropbox con un autoejecutable que debería descomprimir el CV, también se comenta la posibilidad de existir un word con macros directamente colgado en esa nube personal, una vez descargado y ejecutaba comenzaba la fiesta.
La expansión una vez dentro de tu red
Al igual que WannaCry, NotPetya explotaba la vulnerabilidad CVE-2017-0144 y que fue parcheada en el boletín MS17-010, pero daba un paso más en la infección y añadía un segundo exploit badasado en otra vulnerabilidad marcada como CVE-2017-0145 y que fue corregida en el mismo boletín de MS.
Además de estos exploits este bicho gracias a una herramienta de dumping tipo LSADump o Mimikatz podía a credenciales que sirviesen en equipos remotos, los detectaba haciendo un barrido a través de los puertos TCP 139 y 445 y una vez localizados usaba PsExec o VMCI para la ejecución remota de código si conseguía el acceso.
La encriptación, el efecto inmediato sobre el equipo infectado
Tras una serie de comprobaciones de privilegios y ejecución el ransomware comenzaba la modificación del MBR del disco duro, no hacía una encriptación directa de los archivos si no que dejaba inutilizable el MBR normal y que provocaba la pérdida del indice y localización de ciertos ficheros, concretamente le interesaba la ubicación de las siguientes extensiones (la ubicación C:\Windows quedaba excluida del daño):
.3ds | .7z | .accdb | .ai |
.asp | .aspx | .avhd | .back |
.bak | .c | .cfg | .conf |
.cpp | .cs | .ctl | .dbf |
.disk | .djvu | .doc | .docx |
.dwg | .eml | .fdb | .gz |
.h | .hdd | .kdbx | |
.mdb | .msg | .nrg | .ora |
.ost | .ova | .ovf | |
.php | .pmf | .ppt | .pptx |
.pst | .pvi | .py | .pyc |
.rar | .rtf | .sln | .sql |
.tar | .vbox | .vbs | .vcb |
.vdi | .vfd | .vmc | .vmdk |
.vmsd | .vmx | .vsdx | .vsv |
.work | .xls | .xlsx | .xvd |
.zip |
Una vez completado el proceso se programaba el reinicio automático pasados los 10 minutos de la infección del equipo, tras el cual se vería un aparente pero falso proceso de comprobación de estado del disco (chkdsk).
Pasado este punto ya podíamos ver la famosa pantalla que se ha hecho viral desde ayer.
Aun así el sistema te permite el acceso a Windows, al menos en un modo bastante básico y por supuesto sin acceso a un volumen importante de los archivos.
No aprendemos la lección
La seguridad no es un añadido más, debe ser una prioridad en cualquier entorno personal y más profesional, y en los corporativos mejor ni hablamos, es una de las asignaturas suspendidas por muchas empresas de cualquier sector, pero debe ser complementado con la formación de los usuarios de tu negocio y siempre contar con un respaldo de cualquier dato que consideres relativamente importante o tenga un precio de horas o confidencialidad.
Más info en el techblog de MS.
1 comentarios:
Estimados, como podemos proteger nuestra red y nuentas maquinas de este virus?
Publicar un comentario