Nella giornata di oggi 27 Giugno 2017, a livello mondiale è stato identificato un nuovo attacco Ransomware dal nome PetrWrap, derivante dal Ransomware/Petya.
Dalle prime informazioni, la minaccia risulta essere distribuita principalmente in Ucraina, Russia, Polonia, Italia e Germania, anche se vi sono fonti che confermano infezioni negli Stati Uniti, Inghilterra, Francia, India e Spagna.
Analisi Tecnica
PetrWrap fa parte della macro-famiglia di Malware Ransomware e cioè minacce informatiche sviluppate con lo scopo di criptare i dati degli utenti/organizzazioni vittima e richiedere, in seguito, un riscatto in BTC (bitcoin), per avere nuovamente i dati in chiaro.
A differenza di WannaCry o di altri Ransomware, PetrWrap, una volta riavviato il PC, cripta l’intero Hard Disk, in particolare colpisce la Master File Table (MTF) del File System NTFS e rende inutilizzabile l’MBR (Master Boot Record).
Così facendo, PetrWrap è in grado di bloccare l’intero PC, senza nemmeno far caricare il Sistema Operativo all’utente vittima.
Al momento non si è ancora certi di quale sia il vettore di attacco utilizzato dagli attaccanti per distribuire il malware, anche se si ipotizza possa avvenire tramite e-mail.
L’entità della minaccia risulta critica in quanto il malware sfrutta una vulnerabilità del protocollo SMB v1 per progapagarsi nella rete interna, tramite exploit già noto e reso pubblico da ShadowBroker nell’occasione del leak dei toolkit NSA: il nome dell’Exploit è EternaBlue.
Tale Exploit è lo stesso già utilizzato dal Ransomware/WannaCry per propagarsi all’interno della rete locale e via internet.
La vulnerabilità risulta essere stata patchata nel mese di Marzo 2017 da Microsoft sui sistemi Microsoft Windows grazie al bollettino di sicurezza MS17-010.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
PetrWrap, oltre ad utilizzare l’Exploit EternaBlue, per propagarsi nella rete interna può sfruttare anche strumenti nativi di Windows come WMIC o il tool PSEXEC; quest’ultimo metodo di infezione ha successo solo nel caso in cui il PC vittima abbia i permessi amministrativi sui PC remoti.
Al momento gli attaccanti che si celano dietro a questa nuova distribuzione globale del Ransomware/PetrWrap risultano identificati dall’indirizzo e-mail: wowsmith123456@posteo.net.
Attualmente sono già stati registrati 29 pagamenti in BTC, associati all’indirizzo email sopra indicato, per un totale di 3,15 BTC.
Come difendersi
E’ possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:
- (Consigliato)
Installare le patch rilasciate nel bollettino di sicurezza Microsoft di Marzo MS17-010.
- (Alternativa)
Disabilitare il protocollo SMB v1: la versione 1 del protocollo SMB risulta vecchia e non più utilizzata, se non in ambienti in cui è necessario un’alta “retro-compatibilità” con S.O. Microsoft non più supportati (Windows 2000, Windows XP).
E’ inoltre consigliato aggiornare all’ultima versione disponibile le signature Antivirus sugli EndPoint.
L’Antivirus di nuova generazione SentinelOne, grazie al suo motore di analisi dinamica delle minacce, protegge già gli EndPoint senza necessità di aggiornare le signature.
IoC – Indicators of Compromised
IOC Type | Value |
FileHash-MD5 | 71B6A493388E7D0B40C83CE903BC6B04 |
FileHash-MD5 | 0df7179693755b810403a972f4466afb |
FileHash-MD5 | 42b2ff216d14c2c8387c8eabfb1ab7d0 |
FileHash-MD5 | E595c02185d8e12be347915865270cca |
FileHash-MD5 | e285b6ce047015943e685e6638bd837e |
CnC IP | 185.165.29.78 |
CnC IP | 111.90.139.247 |
CnC IP | 84.200.16.242 |
CnC IP | 95.141.115.108 |
FileHash-SHA256 | 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 |
FileHash-SHA1 | 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d |
FileHash-SHA256 | 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 |
FileHash-SHA256 | 752e5cf9e47509ce51382c88fc4d7e53b5ca44ba22a94063f95222634b362ca5 |
FilePath | dllhost.dat |
Managed Next Generation EndPoint Protection
In qualità di Network & Security Company, Sorint.SEC eroga servizi di sicurezza informatica volti a garantire una protezione avanzata delle più diverse e complesse infrastrutture.
Nello specifico, eroga servizi di Managed Next Generation EndPoint Protection con lo scopo di aumentare la protezione delle organizzazioni contro le minacce avanzate indirizzate agli EndPoint presenti all’interno dell’infrastruttura.
Maggiori informazioni circa i servizi di protezione e sicurezza gestita, offerti da Sorint.SEC sono disponibili ai seguenti link:
https://sec.sorint.it/it/managedendpointprotection
Riferimenti
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
http://thehackernews.com/2017/06/petya-ransomware-attack.html
Devi effettuare l'accesso per postare un commento.