Развитие информационных угроз в первом квартале 2016 года

Отчеты о целевых атаках (APT)

Вымогатель Шредингера: Petya и неPetya

Развитие информационных угроз в первом квартале 2016 года

Вчера, 27 июня, мы получили сообщения о прокатившейся по всему миру новой волне атак с использованием троянца-вымогателя (в прессе его называют Petya, Petrwrap, NotPetya и exPetr). В первую очередь нападению подверглись компании в Украине, России и Западной Европе. Если вы стали жертвой атаки, картина на скриншоте ниже наверняка вам уже знакома:

Решения «Лаборатории Касперского» успешно блокируют эту атаку с помощью компонента System Watcher. Эта технология позволяет отследить изменения в системе и произвести откат любых потенциально вредоносных действий.
На данный момент наша телеметрия показывает более 2000 атак:

Однако наше расследование продолжается, и пока о его завершении говорить слишком рано. Сейчас общественность достаточно бурно обсуждает эту тему, строятся различные теории, но ниже вы найдете то, что мы можем утверждать с уверенностью, основываясь на данных нашего независимого анализа:

Как распространяется вымогатель?

Чтобы завладеть учетными данными для распространения, программа-вымогатель использует специальные утилиты а-ля Mimikatz. Они извлекают учетные данные из процесса lsass.exe. После этого данные передаются утилитам PsExec или WMIC для распространения внутри сети.

Среди других наблюдаемых векторов заражения:

  • Модифицированный эксплойт EternalBlue, также использовавшийся WannaCry.
  • EternalRomance — эксплойт с удаленным исполнением кода, использующий уязвимости в операционной системе Windows – версий от XP до 2008 – через TCP-порт 445 (Примечание: уязвимость закрыта с помощью MS17-010)
  • Атака на механизм обновления стороннего программного продукта украинского производства под названием MeDoc

ВАЖНО: одна зараженная система в сети, обладающая административными полномочиями, способна заразить все остальные компьютеры через WMI или PSEXEC.

Что делает вымогатель?

После заражения вредоносная программа выжидает 10-60 минут и затем перезагружает систему. Перезагрузка происходит с использованием системных средств с инструментами «at» или «schtasks» и «shutdown.exe».

После перезагрузки троянец начинает шифровать главную файловую таблицу в разделах NTFS, перезаписывая с помощью кастомизированного загрузчика главную загрузочную запись (MBR) сообщением с требованием выкупа. Подробнее о требовании выкупа ниже.

Обследование сети

Вредоносная программа находит все сетевые адаптеры, все известные имена серверов через NetBIOS, а также извлекает список всех текущих договоров аренды DHCP, если он доступен. Каждый IP-адрес локальной сети и каждый обнаруженный сервер проверяется на наличие открытых TCP-портов 445 и 139. Затем те компьютеры, у которых есть эти порты открыты, подвергаются атаке одним из описанных выше способов.

Извлечение пароля

Ресурсы 1 и 2 двоичного кода вредоносной программы содержат две версии отдельной утилиты (32-разрядную и 64-разрядную), которая пытается извлечь логины и пароли залогиненных пользователей. Утилита управляется основным двоичным кодом. Все извлеченные данные передаются обратно в основной модуль через именованный канал со случайным GUID-подобным именем.

Расшифровка файла

Есть ли у жертв какая-то надежда на расшифровку своих файлов? К сожалению, вымогатель использует стандартную, надежную схему шифрования, поэтому расшифровка представляется маловероятной, если только не допущена какая-то мелкая ошибка в имплементации. Механизм шифрования имеет следующие особенности:

  • Для всех файлов генерируется единый ключ AES-128.
  • Этот AES-ключ зашифровывается с помощью открытого ключа RSA-2048, принадлежащего злоумышленникам.
  • Зашифрованные AES-ключи хранятся в файле README.
  • Ключи сгенерированы надежно.

За ключ, который расшифровывает данные, организовавшие эту атаку злоумышленники требуют у жертвы выкуп в биткойнах, эквивалентный 300 долларам. Сумма должна быть перечислена в общий Bitcoin-кошелек. В отличие от ситуации с Wannacry, эта техника вполне работоспособна, потому что злоумышленники просят жертв отправить номер своего кошелька по электронной почте на адрес wowsmith123456@posteo.net, подтвердив таким образом транзакции. Мы видели сообщения о том, что этот электронный адрес уже заблокирован, что на данный момент лишает жертв надежды на полную расшифровку их файлов.

На момент написания этого блога в биткойн-кошелек в результате 24 транзакций поступило порядка 2,54 биткойна, это чуть меньше $6000.

Вот краткий список рекомендаций о том, как не стать жертвой программы-вымогателя:

  • Используйте надежное антивирусное решение со встроенной защитой от программ-вымогателей, такой как System Watcher в Kaspersky Internet Security.
  • Убедитесь, что вы обновили Microsoft Windows и все стороннее ПО. Крайне важно сразу же установить обновление MS17-010.
  • Не открывайте вложения, полученные из недоверенных источников.
  • Создавайте резервные копии ценных данных на внешних носителях и храните их оффлайн.

Корпоративным клиентам «Лаборатории Касперского» мы также рекомендуем:

  • Убедиться, что включены все защитные механизмы, как рекомендовано; особое внимание на KSN и System Watcher (они включены по умолчанию).
  • В качестве дополнительного средства мы рекомендуем корпоративным пользователям использовать «Контроль активности программ«, чтобы запретить всем группам приложений любой доступ (в том числе возможность взаимодействия или исполнения) к файлу под названием perfc.dat и утилите perfc.dat (часть Sysinternals Suite)
  • В качестве альтернативы вы также можете использовать «Контроль запуска программ» – компонент Kaspersky Endpoint Security, — чтобы запретить запуск утилиты PSExec. Но, пожалуйста, используйте Application Privilege Control, чтобы блокировать доступ к perfc.dat.
  • Включите и настройке режим Default Deny в компоненте Application Startup Control решения Kaspersky Endpoint Security, чтобы усилить проактивную защиту от этой и других атак.

Для системных администраторов, наши продукты обнаруживают вредоносные образцы, используемые в этой атаке, по следующим вердиктам:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

IOCs

0df7179693755b810403a972f4466afb
42b2ff216d14c2c8387c8eabfb1ab7d0
71b6a493388e7d0b40c83ce903bc6b04
e285b6ce047015943e685e6638bd837e
e595c02185d8e12be347915865270cca

Yara rules

Загрузите правила Yaraв виде ZIP-архива.

rule ransomware_exPetr {
meta:

copyright = «Kaspersky Lab»
description = «Rule to detect PetrWrap ransomware samples»
last_modified = «2017-06-27»
author = «Kaspersky Lab»
hash = «71B6A493388E7D0B40C83CE903BC6B04»
version = «1.0»

strings:

$a1 = «MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu» fullword wide
$a2 = «.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls» fullword wide
$a3 = «DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED» fullword ascii
$a4 = «1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX» fullword ascii
$a5 = «wowsmith123456@posteo.net.» fullword wide

condition:

(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}

Вымогатель Шредингера: Petya и неPetya

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Дмитрий

    В разделе «Как распространяется вымогатель?» Вы не указали первичный способ заражения. Вот в ВК в разных группах админы организаций отписываются, что заразился сервер, а дальше легла вся сеть из 1к компов. Что было не так на сервере? Явно там никто не открывал никаких писем с вложениями и никто не переходил по ссылкам. Почему лег сервер? Спасибо.

  2. Андрей

    Спасибо за вашу работу! ))

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике