Diagrama de la infección Petya - Fuente: Trend Micro

Ante la amenaza, Trend Micro recomienda tanto a usuarios como a organizaciones seguir los siguientes pasos de mitigación inmediatamente para prevenir y evitar la infección:

• Aplicar el parche de seguridad MS17-010
• Desactivar el puerto TCP 445
• Restringir las cuentas con acceso al grupo de administradores

La compañía de seguridad TI subraya que protege a sus clientes contra esta amenaza con Predictive Machine Learning y otras importantes funciones de seguridad frente al ransomware que se encuentran en Trend Micro XGen security. Actualmente, la compañía está trabajando en el análisis de esta amenaza y actualizará esta publicación tan pronto tenga más detalles disponibles.

Corriente de infección

Como se mencionó anteriormente, la entrada inicial de este ransomware en el sistema implica el uso de la herramienta PsExec, una herramienta oficial de Microsoft utilizada para ejecutar procesos en sistemas remotos. También utiliza la vulnerabilidad de EternalBlue -previamente empleada en el ataque de WannaCry-, que se dirige a una vulnerabilidad en Server Message Block (SMB) v1.

Una vez en un sistema, esta variante Petya utiliza el proceso rundll32.exe para ejecutarse por sí misma. El cifrado real es llevado a cabo por un archivo llamado perfc.dat, ubicado en la carpeta de Windows.

Este ransomware añade entonces una tarea programada, que reinicia el sistema después de al menos una hora. Mientras tanto, la Master Boot Record (MBR) también se modifica para que el encriptador realice el cifrado y se muestre la nota de rescate correspondiente.

Inicialmente se muestra una notificación falsa de CHKDSK, es decir, cuando el cifrado se lleva a cabo realmente. Normalmente el ransomware, no cambia las extensiones de los archivos cifrados: más de 60 extensiones de archivos están dirigidas al cifrado, vale la pena señalar que las extensiones de archivo objetivo se centran en los tipos de archivo utilizados en la configuración de la empresa; imágenes y archivos de vídeo (dirigidos por otros ataques de ransomware) están particularmente ausentes.

Aparte del uso del exploit EternalBlue, hay otras similitudes a WannaCry. Al igual que este ataque, el proceso de rescate de esta variante Petya es relativamente simple: también utiliza una dirección Bitcoin codificada, haciendo que el descifrado sea un proceso mucho más laborioso por parte de los atacantes.

Según Trend Micro, esto contrasta con los ataques anteriores de Petya, que tenían una interface de usuario más desarrollada para este proceso. A cada usuario afectado se le pide que pague un rescate de 300 dólares. Hasta este momento, se han pagado aproximadamente 7.500 dólares en la dirección de Bitcoin. Como en todos los ataques de ransomware, Trend Micro aconseja no pagar el rescate; ste caso, esto es particularmente importante, ya que la cuenta de correo electrónico mencionada en la nota de rescate ya no está activa.

Petya utiliza hábilmente los procesos legítimos de Windows PsExec y Windows Management Information Command-line, que es una interfaz que simplifica el uso de Windows Management Instrumentation (WMI).

Una vez que Petya se ha descargado, despliega psexec.exe como dllhost.dat en la máquina de destino. El malware también descarga una copia de sí mismo en \\{nombre de máquina remota}\admin $\{malware filename}. A continuación, ejecuta la copia desplegada utilizando dllhost.dat localmente (que es el nombre de archivo de la herramienta PSExec) con los parámetros siguientes: dllhost.dat \\{remote machine name} -accepteula -s -d C:\Windows\System32\rundll32 “C:\Windows\{malware filename}”,#1 {random number minimum 10} {enumerated credentials}

El formato de {enumerated credentials} es el siguiente:

"Un1: pw1" "un2: pw2" "un3: pw3" ... "unN: pwN"

Si esto no tiene éxito, entonces Petya utilizará WMIC.EXE para ejecutar el archivo en la máquina remota:

%System%\wbem\wmic.exe /node:”{node}” /user:”{user name}” /password:”{password}” process call create “C:\Windows\System32\rundll32 \”C:\Windows\{malware filename}\” #1 {random number minimum 10} {enumerated credentials}”

Petya utilizará PSExec o WMIC para difundir el malware a otros sistemas dentro de la red local. Si esta parte de la cadena de infección no funciona, solo entonces Petya explotará la vulnerabilidad EternalBlue.

Método de extracción de información

Trend Micro ha descubierto que esta variante de Petya utiliza un método avanzado para extraer información del sistema infectado.

Utiliza un Mimikatz personalizado, una herramienta de seguridad legítima, para extraer nombres de usuario y contraseñas. Los ejecutables Mimikatz de 32 bits y 64 bits se cifran y almacenan en la sección de recursos del ransomware.

El método de extracción se ejecuta cuando el proceso de malware principal abre un conducto, que es utilizado por el Mimikatz personalizado para escribir sus resultados, que son leídos por el proceso principal del malware. Como se mencionó anteriormente, Petya es capaz de extenderse a otros sistemas dentro de la red local utilizando esta información extraída.

Procedimiento de modificación del disco

Antes del cifrado, Petya modificará primero el MBR como parte de su proceso. Inicialmente, el sector después Volume Boot Record (VBR) se escribe con código (0xBAADF00D), lo que hace que el sistema no arranque.

También accede a los siguientes sectores:

• Los sectores 0 a 18 (desplazamiento de disco 0 a 25FFh) se sobrescriben con su propio programa de arranque
• El sector 32 (desplazamiento del disco 4000h a 41FFh) se escribe con algunos datos aleatorios estructurados
• El sector 33 (offset de disco 4200h a 43FFh) se llena con 07h. 

El MBR original está cifrado:

• El sector 34 (desplazamiento de disco 4400h a 45FFh) se escribe con el MBR original cifrado XOR

Si el proceso anterior falla, sobreescribirá los sectores 0-9 con código (0xBAADF00D). Más información en http://blog.trendmicro.es y en www.trendmicro.com