Un cyberattacco globale che utilizza un ransomware MBR, simile a quello dello scorso maggio realizzato tramite il virus WannaCry, è stato lanciato martedì 27 giugno. Check Point segnala che la maggior parte degli attacchi è avvenuta in Ucraina, coinvolgendo la banca centrale, uffici governativi e aziende private di quel paese. L’attacco si è comunque diffuso in molti paesi dell’Europa, America, Medio Oriente e Asia. Tra le organizzazioni prese di mira anche parecchie infrastrutture critiche, come la centrale nucleare di Chernobyl. Il malware utilizzato è una variante di Petya, un tipo di malware, già identificato a marzo 2016, che cripta l’intero hard disk, anziché ogni file singolarmente.
Il nuovo malware si chiama PetrWrap, spiega Check Point in una nota sul blog, ma non è ancora chiaro quale versione del malware potrebbe essere colpevole. I sistemi di analisi e di monitoraggio di Check Point mostrano anche la presenza di Loki Bot per il furto di credenziali, ma deve essere ancora confermato se ci sia un collegamento tra questi due aspetti della campagna: il ransomware e il furto delle credenziali. Purtroppo, dato che PetrWap e Loki Bot si stanno verificando nello stesso momento, queste due campagne hanno tutto il potenziale per creare un danno enorme. Petya aveva colpito per la prima volta nel marzo del 2016 società petrolifere russe e società ucraine governative, di trasporti ed energia, chiedendo un riscatto in cripotovaluta.
La variante del virus Petya utilizza EternalBlue, uno strumento sottratto all’NSA. Mentre l'origine dell’attacco è ancora da definire, molti ricercatori suggeriscono che MeDoc, un fornitore di software di contabilità ucraina, è stato compromesso ed i suoi sistemi abusati per distribuire l’attacco attraverso il suo meccanismo di aggiornamento del software. MeDoc è un servizio popolare in Ucraina, principale Paese preso di mira dal malware; a maggio la società è stata inoltre sospettata di essere coinvolta nella distribuzione di un altro ransomware, noto come XData. Finora, MeDoc ha negato le accuse e ha postato su Facebook che, mentre la loro rete è stata infettata e crittografata come parte dell’attacco, i loro aggiornamenti software sono ancora intatti.
A partire da ora, i tentativi di Check Point di contattare direttamente MeDoc sono falliti. Una volta che il malware si infiltra in una rete, effettua “Lateral movement” per infettare l’intero network. Il movimento laterale del malware è probabile che abbia funzionalità worm come ad esempio: sfruttamento delle vulnerabilità Server Message Block, abuso delle sessioni attive, furto delle credenziali e condivisione di file come mezzi per fornire file da una macchina all'altra. In particolare, Check Point ha visto un tentativo di diffusione nella rete delle vittime attraverso l’exploit EternalBlue, utilizzato precedentemente in WannaCry, sfruttando la vulnerabilità CVE-2017-0147, e un altro eseguibile incorporato come una risorsa binaria nel malware per il furto di credenziali.
Quest’ultimo è una DLL, nella directory di caduta %TEMP% ed eseguita con Rundll. Lo strumento in sé assomiglia ad un noto programma di utilità open source chiamato Mimikatz, che ha capacità di rubare hash, password e altri oggetti legati alla sicurezza dalla memoria di una macchina. Le credenziali rubate vengono poi utilizzate al fine di tentare una consegna di file della DLL Petya all'host di destinazione. Il payload Petya può essere trasferito attraverso pacchetti di richiesta Trans2 SESSION_SETUP del protocollo SMB, inviati come 4096K blocchi (un chunk per richiesta). Esso è codificato con la chiave di XOR: 24db007a. Quando il file viene ottenuto dalla macchina vittima, è gestito da remoto attraverso un Sysinternals tool legittimo chiamato PsExec.
Il malware utilizzato nell’attacco ha un portafoglio hard-coded di Bitcoin, il che significa che tutte le vittime di questo campione sono indirizzate a pagare il riscatto nello stesso portafoglio. Attualmente (28 giugno, 14:00 CET), il portafoglio contiene solo 3.874 Bitcoin, che sono meno di 10.000 dollari. Maya Horowitz, Threat Intelligence Group Manager di Check Point ha dichiarato: “Il ransomware sembra essere una nuova versione del ransomware Petya, per la prima volta apparso nel marzo 2016. Il ransomware si sta diffondendo velocemente a livello mondiale coinvolgendo le reti aziendali, come WannaCry ha fatto lo scorso mese. A differenza di altri tipi di ransomware, Petya non cripta uno per uno i file sulle macchine infette, ma blocca l’intero hard disk”.
“Per difendersi, le organizzazioni devono applicare immediatamente le ultime patch di sicurezza Microsoft e disattivare il protocollo di condivisione dei file SMBv1 sui propri sistemi Windows. Inoltre, le organizzazioni devono essere in grado di prevenire le infezioni, scansionando, bloccando e filtrando i contenuti sospetti prima che essi raggiungano le loro reti. È inoltre fondamentale che il personale sia consapevole dei rischi portati da email inviate da soggetti sconosciuti o messaggi di posta sospettosi che sembrano però provenire da contatti noti.” Check Point rassicura che le proprie soluzioni Check Point SandBlast, SandBlast Agent e Anti-Bot sono in grado di proteggere contro Petya e Loki Bot, mentre Check Point IPS difende contro le vulnerabilità SMB.
Check Point sta seguendo da vicino l’attacco e indagando attivamente su Petya, così come sul potenziale coinvolgimento di Loki Bot nella campagna. Check Point Software Technologies sottolinea, inoltre, che questo attacco è l’ennesima dimostrazione di come: • nuove varianti di malware possono essere create e diffuse velocemente su scala globale; • le aziende non sono ancora del tutto pronte a prevenire questi tipi di attacchi che provengono dalla rete. E’ ormai chiaro che le aziende e le organizzazioni hanno bisogno di focalizzarsi sulla prevenzione. I sistemi avanzati di Threat Prevention sono ormai fondamentali all’interno di un’organizzazione, perché consentono di bloccare un contenuto sospetto prima che raggiunga la rete. E’ disponibile a questa pagina l’analisi forense di Check Point Software. Via: Team Lewis
Nessun commento:
Posta un commento