Sorint.SEC Cyber Security Blog



PetrWrap: Nuovo attacco Ransomware

Nella giornata di oggi 27 Giugno 2017, a livello mondiale è stato identificato un nuovo attacco Ransomware dal nome PetrWrap, derivante dal Ransomware/Petya.

 

Dalle prime informazioni, la minaccia risulta essere distribuita principalmente in Ucraina, Russia, Polonia, Italia e Germania, anche se vi sono fonti che confermano infezioni negli Stati Uniti, Inghilterra, Francia, India e Spagna.

 

Analisi Tecnica 

PetrWrap fa parte della macro-famiglia di Malware Ransomware e cioè minacce informatiche sviluppate con lo scopo di criptare i dati degli utenti/organizzazioni vittima e richiedere, in seguito, un riscatto in BTC (bitcoin), per avere nuovamente i dati in chiaro.

A differenza di WannaCry o di altri Ransomware, PetrWrap, una volta riavviato il PC, cripta l'intero Hard Disk, in particolare colpisce la Master File Table (MTF) del File System NTFS e rende inutilizzabile l'MBR (Master Boot Record).

Così facendo, PetrWrap è in grado di bloccare l'intero PC, senza nemmeno far caricare il Sistema Operativo all'utente vittima.

Al momento non si è ancora certi di quale sia il vettore di attacco utilizzato dagli attaccanti per distribuire il malware, anche se si ipotizza possa avvenire tramite e-mail.

L'entità della minaccia risulta critica in quanto il malware sfrutta una vulnerabilità del protocollo SMB v1 per progapagarsi nella rete interna, tramite exploit già noto e reso pubblico da ShadowBroker nell'occasione del leak dei toolkit NSA: il nome dell'Exploit è EternaBlue.

Tale Exploit è lo stesso già utilizzato dal Ransomware/WannaCry per propagarsi all'interno della rete locale e via internet.

La vulnerabilità risulta essere stata patchata nel mese di Marzo 2017 da Microsoft sui sistemi Microsoft Windows grazie al bollettino di sicurezza MS17-010.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

PetrWrap, oltre ad utilizzare l'Exploit EternaBlue, per propagarsi nella rete interna può sfruttare anche strumenti nativi di Windows come WMIC o il tool PSEXEC; quest'ultimo metodo di infezione ha successo solo nel caso in cui il PC vittima abbia i permessi amministrativi sui PC remoti.

Al momento gli attaccanti che si celano dietro a questa nuova distribuzione globale del Ransomware/PetrWrap risultano identificati dall'indirizzo e-mail: wowsmith123456@posteo.net.

Attualmente sono già stati registrati 29 pagamenti in BTC, associati all'indirizzo email sopra indicato, per un totale di 3,15 BTC.

 

Come difendersi 

E' possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:

  • (Consigliato)

Installare le patch rilasciate nel bollettino di sicurezza Microsoft di Marzo MS17-010.

  • (Alternativa)

Disabilitare il protocollo SMB v1: la versione 1 del protocollo SMB risulta vecchia e non più utilizzata, se non in ambienti in cui è necessario un'alta "retro-compatibilità" con S.O. Microsoft non più supportati (Windows 2000, Windows XP).

 

E' inoltre consigliato aggiornare all'ultima versione disponibile le signature Antivirus sugli EndPoint.

L'Antivirus di nuova generazione SentinelOne, grazie al suo motore di analisi dinamica delle minacce, protegge già gli EndPoint senza necessità di aggiornare le signature.

 

IoC - Indicators of Compromised

IOC Type

Value

FileHash-MD5

71B6A493388E7D0B40C83CE903BC6B04

FileHash-MD5

0df7179693755b810403a972f4466afb

FileHash-MD5

42b2ff216d14c2c8387c8eabfb1ab7d0

FileHash-MD5

E595c02185d8e12be347915865270cca

FileHash-MD5

e285b6ce047015943e685e6638bd837e

CnC IP

185.165.29.78

CnC IP

111.90.139.247

CnC IP

84.200.16.242

CnC IP

95.141.115.108

FileHash-SHA256

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

FileHash-SHA1

34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

FileHash-SHA256

64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

FileHash-SHA256

752e5cf9e47509ce51382c88fc4d7e53b5ca44ba22a94063f95222634b362ca5

FilePath

dllhost.dat

 

Managed Next Generation EndPoint Protection

In qualità di Network & Security Company, Sorint.SEC eroga servizi di sicurezza informatica volti a garantire una protezione avanzata delle più diverse e complesse infrastrutture.

Nello specifico, eroga servizi di Managed Next Generation EndPoint Protection con lo scopo di aumentare la protezione delle organizzazioni contro le minacce avanzate indirizzate agli EndPoint presenti all'interno dell'infrastruttura.

Maggiori informazioni circa i servizi di protezione e sicurezza gestita, offerti da Sorint.SEC sono disponibili ai seguenti link:

https://sec.sorint.it/it/managedendpointprotection

https://sec.sorint.it/it/soc

 

 Riferimenti

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

http://thehackernews.com/2017/06/petya-ransomware-attack.html

https://securelist.com/schroedingers-petya/78870/

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/

27 June 2017