Armia i Służby
CERT Polska: Atak Petya & Mischa
Duet Petya & Mischa jest na rynku ransomware od końcówki 2015 roku. Po sukcesie ataku WannaCry, ostatni wariant został wzbogacony o funkcje propagacji wewnątrz sieci za pomocą exploita EternalBlue, PsExec oraz Windows Management Instrumentation Command-line (WMIC).
Wtorkowa kampania uderzyła przede wszystkim w sieci ukraińskie: dostawcę energii Ukrenergo, system monitoringu promieniowania elektrowni w Czarnobylu oraz producent samolotów Antonov. A także rosyjskie.
W przypadku Polski CERT otrzymał tylko jedno potwierdzone zgłoszenie, lecz innymi kanałami udało się ustalić kilka zainfekowanych firm.
Petya & Mischa, odwrotnie niż WannaCry, kieruje swoje działanie od wewnątrz sieci (w domyśle, zaufanego środowiska). W analizowane przez nas próbki nie zostały wbudowane mechanizmy propagacji poprzez Internet.
Po uruchomieniu ransomware, zainfekowana stacja robocza skanowała lokalną podsieć (/24) pod kątem administracyjnych udziałów sieciowych ADMIN
nbsp;, celem kopii payloadu do innej maszyny i uruchomeniu go za pomocą PsExec. Kolejnym krokiem było wykonanie polecenia WMIC (process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\) na komputerach odnalezionych w otoczeniu sieciowym. Poświadczenia do połączenia były pozyskiwane za pomocą narzędzia Mimikatz. Ostatnim sposobem propagacji było wykorzystanie exploita na podatność EternalBlue.Sposób działania był taki, że ransomware Petya targetował tylko lokalne dyski twarde – udziały sieciowe ani dyski wymienne nie były celem ataku. W mechanizmie nadpisywania sektora rozruchowego MBR nie stwierdzono istotnych zmian od zeszłorocznej kampanii. Po infekcji czyszczone są logi systemowe (Setup, System, Security, Application).
Czytaj też: Szef MON: atak cybernetyczny groźny ze względu na cel
Dodawane jest również w Harmonogramie zadań polecenie do restartu komputera godzinę po infekcji. Petya korzysta również z nieudokumentowanej funkcji WinAPI NtRaiseHardError do wymuszenia ponownego uruchomienia komputera.
CERT Polska zaleca posiadanie aktualnej, pełnej kopii zapasowej najważniejszych danych oraz aktualnego oprogramowania. CERT Polska nie rekomenduje płacić okupu przestępcom (w każdym przypadku infekcji ransomware). Jeżeli zaszyfrowaniu uległy ważne dane – warto przenieść je na drugi dysk twardy, a sam zainfekowany system operacyjny zainstalować od nowa. Pozwoli to w przyszłości odzyskać dane, jeżeli pojawi się alternatywna możliwość ich odszyfrowania niż zapłata okupu.
Szybkie informacje o ransomware Petya:
- W przypadku infekcji nie zalecamy płacić okupu – konto [email protected] zostało zablokowane przez dostawcę usługi, co skutkuje niemożnością pozyskania klucza deszyfrującego
- Propagacja następuje również na komputery z aktualnym systemem Windows w środowiskach domenowych
- Utworzenie pliku w lokalizacji C:\Windows\perfc blokuje wektor ataku poprzez WMIC
- Jeżeli po restarcie komputera pojawi się na ekranie fałszywe narzędzie CHKDSK warto niezwłocznie wyłączyć komputer – w tym momencie są szyfrowane pliki
- Tak jak w przypadku ostatniego ataku WannaCry zalecamy jak najszybszą aktualizację poprawką z biuletynu Microsoft MS17-010. W przypadku braku możliwości aktualizacji zachęcamy do wyłączenia obsługi protokołu SMBv1.