27 июня на Украине, в России и в нескольких странах мира была зафиксирована масштабная кибератака с использованием новой модификация локера-шифровальщика "Petya".
Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний (в основном кадровых сотрудников). После открытия вредоносного вложения, которое может быть замаскировано под обычное резюме, происходит заражение целевого компьютера с шифрованием файлов.
За расшифровку вымогатели требуют выкуп в размере 300$ в биткоинах на интернет-кошелек.
Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний (в основном кадровых сотрудников). После открытия вредоносного вложения, которое может быть замаскировано под обычное резюме, происходит заражение целевого компьютера с шифрованием файлов.
За расшифровку вымогатели требуют выкуп в размере 300$ в биткоинах на интернет-кошелек.
Супермаркет "Рост", Харьков, Украина.
Жертвы
В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании. В итоге более 80 компаний по всему миру были заражены:
- В России: Роснефть, Башнефть, Хоум Кредит Банк, Евраз и др.
- На Украине: Запорожьеоблэнерго, Днепроэнерго, Днепровская электроэнергетическая система, Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA, Киевский метрополитен, компьютеры Кабинета министров и правительства Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк, аэропорт Борисполь.
- В мире: Американский биофармацевтический гигант Merck, Maersk и другие.
Детальный анализ вируса:
Любые вложения – doc, docx, xls, xlsx, rtf , и другие офисные вложения могут содержать вредоносный контент.
При открытии вложения с малварью «Petya», произойдет установка вредоноса, используя известную уязвимость CVE-2017-0199.
После этого запустятся 2 основных потока:
Вирус выполняет следующие команды для очистки системного журнала ОС и журнала NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)
При открытии вложения с малварью «Petya», произойдет установка вредоноса, используя известную уязвимость CVE-2017-0199.
После этого запустятся 2 основных потока:
- В первом потоке вирус пытается инфицировать другие компьютеры в сети, используя хорошо знакомую уязвимость (CVE-2017-0144), эксплойт для эксплуатации которой — EternalBlue из арсенала АНБ США 14 апреля выложили в открытый доступ хакеры из Shadow Brokers.
- Как вы помните, WannaCry, атаковавший в мае этого года 300 000 компьютеров в 150 странах мира, использовал ту же самую уязвимость.
- Во втором потоке вирус делает дамп LSA для получения паролей доменных и локальных Администраторских учетных записей. (Аналог mimicatz x86, x64), и после этого заражает другие компьютеры в сети с помощью PsExec или команды WMI.
Вирус выполняет следующие команды для очистки системного журнала ОС и журнала NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)
Вирус использует файл "c:\windows\perfc.dat" как факт того, что компьютер уже инфицирован.(kill switch).
Вирус ждет 30-40 минут после инфицирования (возможно для распространения), а после этого "Petya" шифрует локальные файлы, пытается подменить MBR и MFT и уйти в перезагрузку.
После окончания работы шифровальщика, после включения вы увидите на экране следующее:
Вирус ждет 30-40 минут после инфицирования (возможно для распространения), а после этого "Petya" шифрует локальные файлы, пытается подменить MBR и MFT и уйти в перезагрузку.
После окончания работы шифровальщика, после включения вы увидите на экране следующее:
KillSwitch: Перед началом работы вирус проверяет наличие файла со своим же именем, но без расширения.
Например: если тело вируса изначала имело имя perfc.dat (internal PE name) то при наличии файла «%WINDOWS%/perfc» программа завершит свою работу.
Однако специалисты Group-IB не могут утверждать, что данный вирус будет всегда запущен именно с таким именем, так как это зависит от эксплойта, который создаст данный файл в системе.
Дополнительная информация:
Вирус был скомпилирован 18 июня
Например: если тело вируса изначала имело имя perfc.dat (internal PE name) то при наличии файла «%WINDOWS%/perfc» программа завершит свою работу.
Однако специалисты Group-IB не могут утверждать, что данный вирус будет всегда запущен именно с таким именем, так как это зависит от эксплойта, который создаст данный файл в системе.
Дополнительная информация:
Вирус был скомпилирован 18 июня
Вирусы-вымогатели: что это вообще такое?
Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.
В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.
В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.
Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya — «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Cobalt известна тем, что успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Рустам Миркасымов
Руководитель отдела динамического анализа вредоносного кода Group-IB
Что надо сделать, чтобы защититься от подобных атак?
Принять меры противодействию mimikatz и техникам повышения привилегий в сетях Windows.
Установить патч KB2871997;
Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0;
Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные;
Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах;
Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010);
Экстренно отбирать админские права у всех, кому они не нужны. (Судя по тому, что LSA дампятся, слишком много админских прав в сети либо слишком неосторожные админы;
Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не пропатчили все компьютеры в сети;
Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях;
Внедрите политику нулевого доверия и проведите обучение по безопасности для своих сотрудников;
Отключите SMBv1 в сети;
Подпишитесь на Microsoft Technical Security Notifications;
Платить ли выкуп?
Мы не рекомендуем платить вымогателям, поскольку:
a. вы спонсируете преступников
b. нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.
a. вы спонсируете преступников
b. нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.
No comments:
Post a Comment