Group-IB идентифицировала вирус-шифровальщик, поразивший энергетические, телекоммуникационные и финансовые компании
Petya покоряет Украину
Group-IB идентифицировала вирус-шифровальщик, поразивший энергетические, телекоммуникационные и финансовые компании
27 июня на Украине была зафиксирована масштабная кибератака с использованием новой модификация локера- шифровальщика Petya, который частично зацепил компании в России, США, Индии, Австралии и др. Предварительное расследование показало, что за кибератакой стоит прогосударственная группа Black Energy, ранее атаковавшая энергетические и финансовые организации на Украине.
Первоначальное проникновение происходит через обновления программного обеспечения MeDoc — программы бухгалтерского и налогового учета, весьма популярной на Украине. Затем троян пытался восстановить пароль администратора на компьютере, куда он впервые попал, и подключался с этим паролем ко всем компьютерам в сети, для чего использовал легитимный инструмент PsExec, Wmi и эксплойты из набора АНБ.
За расшифровку вымогатели требуют выкуп в размере 300$ в биткоинах на интернет-кошелек, а неделю спустя потребовали 100 биткоинов ($250 000) за закрытый ключ, необходимый для расшифровки всех зашифрованных файлов.
Супермаркет "Рост", Харьков, Украина.
Жертвы
В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании. В итоге более 80 компаний по всему миру были заражены:
В России: Роснефть, Башнефть, Хоум Кредит Банк, Евраз и др.
На Украине: Запорожьеоблэнерго, Днепроэнерго, Днепровская электроэнергетическая система, Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA, Киевский метрополитен, компьютеры Кабинета министров и правительства Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк, аэропорт Борисполь.
В мире: Американский биофармацевтический гигант Merck, Maersk и другие.
Детальный анализ вируса:
Любые вложения – doc, docx, xls, xlsx, rtf , и другие офисные вложения могут содержать вредоносный контент.
При открытии вложения с малварью «Petya», произойдет установка вредоноса, используя известную уязвимость CVE-2017-0199.
После этого запустятся 2 основных потока:
В первом потоке вирус пытается инфицировать другие компьютеры в сети, используя хорошо знакомую уязвимость (CVE-2017-0144), эксплойт для эксплуатации которой — EternalBlue из арсенала АНБ США 14 апреля выложили в открытый доступ хакеры из Shadow Brokers.
Как вы помните, WannaCry, атаковавший в мае этого года 300 000 компьютеров в 150 странах мира, использовал ту же самую уязвимость.
Во втором потоке вирус делает дамп LSA для получения паролей доменных и локальных Администраторских учетных записей. (Аналог mimicatz x86, x64), и после этого заражает другие компьютеры в сети с помощью PsExec или команды WMI.
Другими словами, в отличие от WannaCry, в данном случае нет необходимости, чтобы все компьютеры имели уязвимый SMB v1. (EternalBlue). Нужен хотя-бы один инфицированный компьютер, содержащий пароль администратора в LSA (доменный, или локальный, который будет таким же на других компьютерах), чтобы заразить всю сеть.
Вирус выполняет следующие команды для очистки системного журнала ОС и журнала NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)
Вирус использует файл "c:\windows\perfc.dat" как факт того, что компьютер уже инфицирован.(kill switch).
Вирус ждет 30-40 минут после инфицирования (возможно для распространения), а после этого "Petya" шифрует локальные файлы, пытается подменить MBR и MFT и уйти в перезагрузку.
После окончания работы шифровальщика, после включения вы увидите на экране следующее:
KillSwitch: Перед началом работы вирус проверяет наличие файла со своим же именем, но без расширения.
Например: если тело вируса изначала имело имя perfc.dat (internal PE name) то при наличии файла «%WINDOWS%/perfc» программа завершит свою работу.
Однако специалисты Group-IB не могут утверждать, что данный вирус будет всегда запущен именно с таким именем, так как это зависит от эксплойта, который создаст данный файл в системе.
Дополнительная информация: Вирус был скомпилирован 18 июня
Вирусы-вымогатели: что это вообще такое?
Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.
В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.
Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya — «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Cobalt известна тем, что успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Рустам Миркасымов
Руководитель отдела динамического анализа вредоносного кода Group-IB
Что надо сделать, чтобы защититься от подобных атак?
1
Принять меры противодействию mimikatz и техникам повышения привилегий в сетях Windows.
2
Установить патч KB2871997;
3
Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0;
4
Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные;
5
Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах;
6
Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010);
7
Экстренно отбирать админские права у всех, кому они не нужны. (Судя по тому, что LSA дампятся, слишком много админских прав в сети либо слишком неосторожные админы;
8
Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не пропатчили все компьютеры в сети;
9
Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях;
10
Внедрите политику нулевого доверия и проведите обучение по безопасности для своих сотрудников;
11
Отключите SMBv1 в сети;
12
Подпишитесь на Microsoft Technical Security Notifications;
Платить ли выкуп?
Мы не рекомендуем платить вымогателям, поскольку:
a. вы спонсируете преступников
b. нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.