Variante de malware pode estar relacionada a sistemas de atualização para o pacote de contabilidade fiscal ucraniana Medoc; novo ransomware “Nyetya” é distinto da Petya, que promoveu ataque no início da semana.
Em maio de 2017, o WannaCry se espalhou como fogo em toda a Internet. Agora, uma nova ameaça foi identificada como uma variante de malware. O novo ransomware “Nyetya” é distinto da Petya, que promoveu ontem ataque a várias empresas da Europa, que as pessoas chamam por vários nomes, como Petrwrap e GoldenEye.
Rússia pede ação internacional para combater o cibercrime
A identificação da ameaça veio da pesquisa Talos e confirmada pela Cisco que mostrou como EternalBlue e WMI aproveita o movimento lateral dentro de uma rede afetada. Esse comportamento é diferente do WannaCry, e pode ser também um vetor psexec também utilizado para difundir-se internamente.
Em sua investigação sobre essa variante de ransomware, a Talos tem observado que sistemas comprometidos estão apresentando um arquivo chamado “Perfc.dat” com funcionalidade necessária para comprometer ainda mais o sistema
Em sua investigação sobre essa variante de ransomware, a Talos tem observado que sistemas comprometidos estão apresentando um arquivo chamado “Perfc.dat” com funcionalidade necessária para comprometer ainda mais o sistema, comenta Williams. Além disso, ele contém uma função de exportação de dados sem nome, apenas referida como #1.
A tentativa de obter privilégios administrativos (SeShutdowPrivilege e SeDebugPrivilege) é mostrada o usuário através dos do Windows API AdjustTokenPrivileges. Se bem sucedido, o ransomware substitui o registro mestre de inicialização (MBR) na unidade de disco conhecida como PhysicalDrive 0 dentro do Windows. Independentemente de saber se o malware é bem sucedido em substituir o MBR ou não, o ransomware continua a criar uma tarefa agendada via schtasks para reiniciar o sistema uma hora após a infecção.
Como parte do processo de propagação, o malware enumera todas as máquinas visíveis na rede através do NetServerEnum e digitaliza para uma porta aberta TCP139. Isto é feito para compilar uma lista de dispositivos e expõe essa porta e, isso pode, eventualmente, tornar a rede suscetível a um ataque.
De acordo com a pesquisa, o malware é usado para propagar três mecanismos para instalação e execução do perfc.dat e se espalhar lateralmente uma vez que o device está infectado: EternalBlue, o mesmo exploit usado pelo WannaCry; Psexec, uma ferramenta de administração legítima do Windows; e o WMI (Windows Management Instrumentation), outro componente Windows.
Para sistemas que ainda não tiveram MS17-010 aplicado, a exploração do EternalBlue é alavancada comprometendo os sistemas. Já o Psexec é usado para executar uma instrução em que w..x.y.z é uma endereço de IP, usando o Windows token do usuário para instalar o malware no device em rede.
C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1
O WMI é usado para executar o comando que perfoma a mesma função acima, mas usando o username e senha do usuário. A Talos ainda está investigando como as credenciais são retiradas do mecanismo neste momento.
Wbem\wmic.exe /node:”w.x.y.z” /user:”username” /password:”password” “process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\perfc.dat\” #1″
Uma vez que o sistema é completamente comprometido, o malware encripta os arquivos na hospedagem usando 2048-bit RSA encription. Addicionalmente, o malware limpa os logs de eventos que comprometem o device usando o seguinte comando: wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
