Il Petya Ransomware / Wiper ha creato il caos in Europa, e l'intuizione dell'infezione è stata osservata per la prima volta in Ucraina quando sono state violate oltre 12.500 macchine. La parte peggiore era che le infezioni si erano diffuse anche in Belgio, Brasile, India e anche negli Stati Uniti. Il Petya ha capacità di worm che gli consentiranno di diffondersi lateralmente attraverso la rete. Microsoft ha pubblicato una linea guida su come affronterà Petya,
Petya Ransomware / Wiper
Dopo la diffusione dell'infezione iniziale, Microsoft ora ha la prova che alcune delle infezioni attive del ransomware sono state osservate per la prima volta dal legittimo processo di aggiornamento di MEDoc. Ciò lo ha reso un chiaro caso di attacchi alla supply chain del software che è diventato piuttosto comune con gli aggressori poiché ha bisogno di una difesa di altissimo livello.
L'immagine qui sotto mostra come il processo Evit.exe da MEDoc ha eseguito la seguente riga di comando, Un vettore interessante in modo simile è stato menzionato anche dalla polizia informatica ucraina nell'elenco pubblico di indicatori di compromesso. Detto questo, il Petya è capace
- Rubare le credenziali e fare uso delle sessioni attive
- Trasferimento di file dannosi su macchine utilizzando i servizi di condivisione file
- Abusare delle vulnerabilità SMB in caso di macchine prive di patch.
Accade il meccanismo di movimento laterale con furto di credenziali e imitazione
Tutto inizia con il rilascio da parte di Petya di uno strumento di dumping delle credenziali, disponibile in entrambe le varianti a 32 e 64 bit. Poiché gli utenti di solito si collegano con diversi account locali, c'è sempre la possibilità che una delle sessioni attive sia aperta su più macchine. Le credenziali rubate aiuteranno Petya a ottenere un livello base di accesso.
Una volta eseguito, Petya analizza la rete locale per le connessioni valide sulle porte TCP / 139 e TCP / 445. Quindi, nel passaggio successivo, chiama subnet e per ogni subnet gli utenti tcp / 139 e tcp / 445. Dopo aver ricevuto una risposta, il malware copia quindi il file binario sulla macchina remota facendo uso della funzione di trasferimento file e delle credenziali che in precedenza era riuscita a rubare.
Il psexex.exe viene rilasciato dal Ransomware da una risorsa incorporata. Nel passaggio successivo, analizza la rete locale per le condivisioni admin $ e quindi si replica sulla rete. Oltre al dumping delle credenziali, il malware cerca anche di rubare le tue credenziali facendo uso della funzione CredEnumerateW per ottenere tutte le altre credenziali dell'utente dall'archivio credenziali.
crittografia
Il malware decide di crittografare il sistema in base al livello di privilegio del processo malware, e questo viene fatto impiegando un algoritmo di hashing basato su XOR che verifica i valori hash e lo usa come esclusione comportamentale.
Nel passaggio successivo, il ransomware scrive sul record di avvio principale e quindi imposta il sistema per il riavvio. Inoltre, utilizza anche la funzionalità delle operazioni pianificate per arrestare la macchina dopo 10 minuti. Ora Petya visualizza un messaggio di errore falso seguito da un messaggio di riscatto effettivo, come mostrato di seguito.