book_icon

Novo ransomware Nyetya compromete sistemas mundialmente

Talos identificou variante de malware que pode estar relacionada a sistemas de atualização para o pacote de contabilidade fiscal ucraniana Medoc
Novo ransomware Nyetya compromete sistemas mundialmente

Em maio de 2017, o WannaCry se espalhou como fogo em toda a Internet. Agora a nova ameaça foi identificada como uma variante de malware. O novo ransomware “Nyetya” é distinto da Petya, que promoveu ontem ataque a várias empresas da Europa, que as pessoas chamam por vários nomes, como Petrwrap e GoldenEye. A identificação da ameaça veio da pesquisa Talos que mostrou como EternalBlue e WMI aproveita o movimento lateral dentro de uma rede afetada. Esse comportamento é diferente do WannaCry, como não parece ser um componente de digitalização externo. Além disso, pode ser também um vetor psexec também utilizado para difundir-se internamente.

Em sua investigação sobre essa variante de ransomware, a Talos tem observado que sistemas comprometidos estão apresentando um arquivo chamado “Perfc.dat” com funcionalidade necessária para comprometer ainda mais o sistema

A identificação deste vetor inicial provou-se mais desafiadora conforme o Líder Técnico Senior de Gestão de Segurança da Talos, Craig Williams. “Os primeiros relatos de um vetor de email ainda não foram confirmados, mas com base em comportamentos observados em rede, a falta de um mecanismo de distribuição externa faz os engenheiros da Talos acreditarem na possibilidade de alguns ataques serem associados aos sistemas de atualização de softwares para o pacote de contabilidade fiscal ucraniana Medoc”.

Para auxiliar os engenheiros e desenvolvedores envolvidos com a segurança dos dados, as regras Snort que detectam tentativas de exploração de MS17-010 estão disponíveis desde abril de 2017. Além disso, a Talos mantém uma lista negra e amostras conhecidas desta variante de ransomware em AMP.

Funcionamento

Em sua investigação sobre essa variante de ransomware, a Talos tem observado que sistemas comprometidos estão apresentando um arquivo chamado “Perfc.dat” com funcionalidade necessária para comprometer ainda mais o sistema, comenta Williams. Além disso, ele contém uma função de exportação de dados sem nome, apenas referida como #1. A tentativa de obter privilégios administrativos (SeShutdowPrivilege e SeDebugPrivilege) é mostrada o usuário através dos do Windows API AdjustTokenPrivileges. Se bem sucedido, o ransomware substitui o registro mestre de inicialização (MBR) na unidade de disco conhecida como PhysicalDrive 0 dentro do Windows. Independentemente de saber se o malware é bem sucedido em substituir o MBR ou não, o ransomware continua a criar uma tarefa agendada via schtasks para reiniciar o sistema uma hora após a infecção.

Como parte do processo de propagação, o malware enumera todas as máquinas visíveis na rede através do NetServerEnum e digitaliza para uma porta aberta TCP139. Isto é feito para compilar uma lista de dispositivos e expõe essa porta e, isso pode, eventualmente, tornar a rede suscetível a um ataque.

De acordo com a pesquisa, o malware é usado para propagar três mecanismos para instalação e execução do perfc.dat e se espalhar lateralmente uma vez que o device está infectado: EternalBlue, o mesmo exploit usado pelo WannaCry;  Psexec, uma ferramenta de administração legítima do Windows; e o WMI (Windows Management Instrumentation), outro componente Windows.

Para sistemas que ainda não tiveram MS17-010 aplicado, a exploração do EternalBlue é alavancada comprometendo os sistemas. Já o Psexec é usado para executar uma instrução em que w..x.y.z é uma endereço de IP, usando o Windows token do usuário para instalar o malware no device em rede.

C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1

O WMI é usado para executar o comando que perfoma a mesma função acima, mas usando o username e senha do usuário. A Talos ainda está investigando como as credenciais são retiradas do mecanismo neste momento.

Wbem\wmic.exe /node:”w.x.y.z” /user:”username” /password:”password” “process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\perfc.dat\” #1″

Uma vez que o sistema é completamente comprometido, o malware encripta os arquivos na hospedagem usando 2048-bit RSA encription. Addicionalmente, o malware limpa os logs de eventos que comprometem o device usando o seguinte comando:

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

*A jornalista viajou a Las Vegas a convite da Cisco

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.