Petya

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca
Petya
programari
Pantalla d'inici d'un sistema infectat amb Petya
Pantalla d'inici d'un sistema infectat amb Petya
Tipus Cavall de Troia (no inclòs )
Programari maliciós
Ransomware (no inclòs )
Cuc - Eixugaparabrises
Data de la primera versió 2016
Última versió NotPetya / ExPetr / Petna / Petwarp / GoldenEye ( 2017 )
Sistema operatiu Microsoft Windows
Llenguatge C.
C ++

Petya , és una família de programari maliciós que va afectar principalment Europa els anys 2016 i 2017 . La primera iteració d’un malware Petya es va identificar el 2016. El malware Petya s’identifica com a cavalls de Troia i pertanyen a la subcategoria de ransomware , amb algunes diferències segons la versió, l’objectiu de les càrregues útils malicioses i el seu funcionament. Tot i que altres ransomware xifren tots els fitxers, Petya impedeix l’arrencada normal del sistema, substituint el registre d’arrencada principal (MBR) i xifrant la taula de fitxers mestres (MFT) : això fa que qualsevol àrea de memòria que contingui fitxers sigui inaccessible. Finalment, el programari maliciós demana a l’usuari un pagament bitcoin per recuperar els fitxers xifrats. La variant del 2017 coneguda habitualment com NotPetya s’aprofita d’un exploit de Windows anomenat EternalBlue , que garanteix una ràpida difusió del malware a les xarxes d’ordinadors i és la causa dels atacs que pateixen les xarxes corporatives.

El programari maliciós de la família Petya només actua en sistemes Windows i és ineficaç en altres sistemes operatius com ara macOS i Linux . [1] [2] [3] [4]

Segons la Casa Blanca , les despeses ocasionades per NotPetya superen USD 10 mil milions. [5]

Difusió

El mètode principal de difusió de les primeres versions del malware Petya va ser l’enviament de correus electrònics fraudulents ( Phishing ). Els correus electrònics podrien contenir com a fitxer adjunt un fitxer d'arxiu ZIP en el cas de Petya o un enllaç a un emmagatzematge al núvol per a la variant anomenada Petya-Mischa. Dins de l'arxiu o el núvol, s'ha trobat el fitxer d'execució malintencionat, presentat enganyosament com a document .pdf , però amb una extensió .exe i acompanyat d'una imatge .jpeg . Un cop iniciat el fitxer d'execució, es va iniciar el procés d'infecció. A l'atac de 2016, el correu electrònic s'assemblava a una sol·licitud de feina i el text estava escrit en alemany. [6] [3]

NotPetya (ExPetr / Petna / Petwarp / GoldenEye)

La difusió de la versió coneguda com NotPetya, ExPetr, Petna, Petwarp o fins i tot GoldenEye va començar a Ucraïna el 2017. Es creu que el principal vector d’infecció era un paquet d’actualització corrupte d’un programari de comptabilitat anomenat MEDoc de la companyia informàtica Intellect Service. Tot i que aquestes acusacions també provenien de marques com Microsoft i Symantec , Intellect Service inicialment va negar qualsevol tipus d’implicació en l’assumpte. El 2017, MEDoc va ser utilitzat pel 80% de les empreses ucraïneses i els seus clients. [7] La policia va emetre avisos immediatament per exigir que deixessin immediatament d'utilitzar el programari i es desconnectessin de la xarxa. [8]

Un altre vector d'infecció va ser un lloc governamental compromès a la ciutat de Bachmut . [9] [10]

La difusió de NotPetya ha estat ràpida sobretot en entorns corporatius. Això va ser possible perquè aquesta nova versió del programari maliciós va aprofitar l'explotació de sistemes Windows anomenada EthernalBlue, una vulnerabilitat de la funció SMB . Microsoft va llançar una actualització el 14 de març de 2017 que solucionava l’error, però en aquell moment, molts dels usuaris afectats encara no havien actualitzat els seus dispositius.

En una xarxa local, si NotPetya aconsegueix entrar en un node d'administració, pot robar credencials d'inici de sessió i dades administratives mitjançant una versió modificada de Mimikatz incrustada al malware. Els dispositius actualitzats també són vulnerables en aquesta situació, ja que NotPetya inicia la sessió amb les credencials robades, mitjançant PsExec i WMIC . [11] [12] [13] [2]

Operació

Petya

El codi Petya està escrit en llenguatge C i C ++ i substitueix part del codi de la funció WinMain, que normalment és completament legal, per intentar passar desapercebut. El procés d’infecció d’un sistema afectat es produeix en tres etapes.

Primera etapa

Es requereixen privilegis d'administrador un cop executat el fitxer. Si es deneguen, és impossible iniciar la càrrega útil malintencionada. Si se’ls atorga, la càrrega útil extreu un fitxer temporal de tipus .dll carregant-lo a la memòria RAM perquè no quedi guardat al disc dur del PC infectat. El fitxer .dll continua identificant l'estàndard del disc dur (MBR o GPT ) i executa la branca de codi adequada per al tipus. Posteriorment, xifra el sector 0 (responsable de les operacions d’inici del PC), implementant un carregador de sistema nou i alguns sectors posteriors del disc dur amb la mateixa operació de xifratge XOR .

Segona fase

En aquesta etapa, el programari maliciós guarda la informació necessària per al xifratge i, possiblement, per al desxifratge. Es creen una cadena de 16 caràcters i dues claus per al xifratge asimètric . La cadena està sotmesa a dos nivells diferents de xifratge, XOR i AES , i després s’utilitza en el xifratge de l’MFT com a clau de desxifratge. També es generen URL personalitzats per connectar l'usuari a les pàgines de pagament. En aquest moment, el programari maliciós provoca un tancament immediat o un bloqueig ( pantalla blava ), en funció de la configuració del PC de l'usuari, i continua amb un reinici del sistema.

Tercera etapa

Pantalla final d'un sistema infectat amb Petya

En reiniciar-se, el nou carregador pren el relleu mostrant una operació simulada de reparació de fitxers Chkdsk al disc dur. En realitat, en aquest moment, l'MFT es xifra amb el mètode Salsa20 , utilitzant la cadena creada anteriorment com a clau. Al final de l'operació, el sistema es reinicia de nou.

En el segon reinici, el programari maliciós presenta a l'usuari una pantalla amb una calavera dibuixada a l' estil artístic ASCII , que alterna amb el fons, mitjançant una animació, els colors vermell i blanc. Si premeu qualsevol tecla, apareixerà una nova pantalla. En aquesta pantalla final, hi ha un paràgraf que descriu el que li va passar a l’usuari i s’enumeren diverses instruccions per conduir l’usuari a pagar la recuperació de dades. Els delinqüents poden proporcionar la clau de desxifratge, que és la cadena creada prèviament, mitjançant un codi personalitzat que conté la informació del sistema, visible en aquesta pantalla. L'usuari haurà d'introduir el codi a la pàgina de pagament. Després del pagament, els delinqüents implementen el codi en un algorisme que, juntament amb una clau que només té aquest, proporciona la cadena per desbloquejar els fitxers de l'usuari. El pagament s’ha de fer en bitcoins a les pàgines web de la xarxa Tor anònima, pàgines accessibles a través dels enllaços d’URL personalitzats creats durant la segona fase. [3]

Petya-Mischa

En aquesta versió, el fitxer d'execució té la possibilitat d'executar dos ransomware diferents. Si es concedeixen privilegis d'administrador, l'operació continua sent la mateixa que el ransomware que executa segueix sent la primera versió de Petya. Si l'usuari no atorga els privilegis, s'executarà un nou ransomware anomenat Mischa. Mischa no necessita obtenir privilegis d’administrador i obtenir ingressos com la majoria dels programes de ransomware, xifrar tots els fitxers del sistema i, finalment, exigir un rescat en bitcoin. No obstant això, a diferència del ransomware més genèric, Mischa és capaç de xifrar fitxers executables, fins i tot generant situacions en què és impossible fer el pagament. [6]

NotPetya (ExPetr / Petna / Petwarp / GoldenEye)

NotPetya actua en part com la versió original. Un cop executat, NotPetya inicia un compte enrere que en alguns casos pot arribar fins als 60 minuts (en un prototip descobert el març del 2017 arribava als 90 minuts), mitjançant algunes eines de Windows com schtasks.exe , at.exe i shutdown .exe. [14] Mentrestant, consulta la xarxa local a la qual està connectat el sistema, buscant altres dispositius connectats amb els ports TCP 445 i 139 oberts. En conseqüència, els dispositius que compleixen els requisits estan infectats. Al final del compte enrere, el sistema es reinicia seguint el mateix camí que la tercera fase de Petya.

En aquesta versió, s'ha eliminat la pantalla inicial del crani, però la diferència més important és que no permet la recuperació de dades xifrades de cap manera. Amb Petya, els delinqüents poden proporcionar una clau de desxifratge als usuaris mitjançant un codi personalitzat que els usuaris han d’introduir durant el pagament. El codi en qüestió, tot i que és el mateix que apareix a NotPetya, es genera aleatòriament i, per tant, no proporciona cap informació rellevant als delinqüents per al seu desxifratge. A més, el pagament ja no es fa en pàgines web personalitzades per a cada usuari, sinó en un compte únic d’una cartera de bitcoins. A la pantalla final també hi ha una adreça de correu electrònic amb la qual era possible comunicar informació amb els delinqüents. Poc després de l'anunci de l'atac, el proveïdor alemany Posteo va tancar l'adreça on es va registrar.

Tot i que un possible pagament no serveix de res, NotPetya encara es presenta com un ransomware, advertint l’usuari de l’incident i demanant un rescat en bitcoin per recuperar els fitxers. Donada la impossibilitat de la recuperació de dades i la destructivitat extrema, ja no s’identifica com a ransomware sinó com a netejador.

També s'ha observat diverses vegades que NotPetya no té cap tipus de Kill Switch, a diferència de WannaCry . Tot i que els dos programes maliciosos tenen similituds en la programació, no hi ha cap alternativa d’emergència que permeti a NotPetya desactivar-se. [15][16] [17] [9] [11] [13]

La fàcil traçabilitat del pagament i les diferències de càrrega útil han generat dubtes entre els experts sobre les motivacions i l’experiència dels programadors que hi ha darrere d’aquest llançament. [18]

Solucions

A més dels consells generalment coneguts de no descarregar ni executar fitxers obtinguts de correus electrònics o llocs web sospitosos, els mètodes de prevenció següents són efectius:

  • Mantingueu el sistema operatiu Windows actualitzat. Si teniu una xarxa local de sistemes Windows, actualitzeu tots els dispositius connectats.
  • Instal·leu i mantingueu actualitzat el programari antivirus de bona reputació.
  • Apagueu el sistema tan aviat com comenci la tercera fase. Això impedeix xifrar el sistema, però impedeix el seu ús si no es pren cap altra solució.
  • Feu còpies de seguretat periòdiques del sistema per utilitzar-les en cas d’infecció.

S'ha descobert que NotPetya, un cop executada i abans de qualsevol operació, intenta entendre si ja està present al PC en què opera, basat en la presència d'un determinat fitxer. A continuació, podeu crear un fitxer anomenat prefc , amb la propietat de només lectura, que es col·locarà a la carpeta Windows del disc dur on està instal·lat el sistema operatiu. Si NotPetya detecta aquest fitxer tan bon punt s’executa, atura qualsevol operació de xifratge. Tanmateix, això no impedeix la seva difusió i funcionament en altres dispositius connectats a la mateixa xarxa local. [19] [10]

Per a un equip ja infectat amb Petya, s’ha desenvolupat un algorisme que, mitjançant la informació d’un sector xifrat pel malware, és capaç de generar la clau de desxifratge adequada. Després, l'algorisme es va implementar en una pàgina web especial que realitza l'operació per a l'usuari. Per extreure aquesta informació, cal instal·lar i executar un programari especial en un ordinador no infectat connectat al disc dur que conté l'MBR xifrat. Un cop fet això i obtingut la clau del lloc web, haureu de tornar a inserir el disc dur al sistema original i introduir-la a la pantalla de programari maliciós. [20]

Impacte

El 4 de maig de 2016, la firma de ciberseguretat Kaspersky va publicar un mapa que mostra la distribució geogràfica de la primera versió del malware Petya. Es va informar de més de 600 usuaris afectats en aquesta data, amb només Alemanya que en va registrar 579, cosa que demostra com el text alemany del correu electrònic es dirigia a la població de parla alemanya. [3]

Tot i que els primers mesos del 2017 es va veure protagonista el ransomware de WannaCry en el camp de la ciberseguretat, molts usuaris i empreses encara no havien actualitzat els seus dispositius per solucionar l’error de Windows. Això va permetre a NotPetya ser molt més prolífic que les versions anteriors.

El malware ha arribat a nivell internacional, però sobretot a Ucraïna, on s'han vist afectades moltes organitzacions com empreses energètiques, transport públic i metro, aeroports, llocs governamentals i nombrosos bancs com el Banc Central. El sistema de control de la radiació de la central nuclear de Txernòbil estava compromès, fins al punt que els empleats es van veure obligats a registrar les dades de la central amb comptadors portàtils. [21] Altres països europeus com Anglaterra , Rússia , Espanya , França i Dinamarca han patit atacs en algunes de les seves institucions més importants. Mentre que a la resta del món, els països que han registrat més infeccions són l’ Índia i els Estats Units .

El novembre de 2017, la CIA va trobar culpable un grup de pirates informàtics militars russos pertanyents al GRU . [22] El govern ucraïnès, l'administració de Donald Trump , el ministre britànic d'Afers Exteriors, Tariq Ahmad, i altres veus han assenyalat Rússia, considerant-la responsable de l'atac cibernètic, atès el conflicte entre les dues nacions. [23] [24]

Entre les organitzacions afectades hi ha: [25] [26]

Nota

  1. ^ Paolo Tarsitano, Petya i NotPetya, ransomware: què són i com eliminar-los , 5 de juliol de 2018. Recuperat el 20 de gener de 2021 .
  2. ^ A b (EN) Josh Fruhlinger, ransomware i programari maliciós Petya NotPetya: el que heu de saber ara , de csoonline.com, 17 d'octubre de 2017. Consultat el 19 de gener de 2020.
  3. ^ A b c d(EN) Fedor Sinitsyn, Petya: the two-in-one trojan , a securelist.com, 4 de maig de 2016. Recuperat el 20 de gener de 2021.
  4. ^ (EN) Richard Devine, Ransomware "Petya": tot el que heu de saber a windowscentral.com , el 28 de juliol de 2017. Recuperat el 20 de gener de 2021 .
  5. ^ (EN) Andy Greenberg, The Untold Story of NotPetya, el ciberatac més devastador de la història , 22 d'agost de 2018. Recuperat el 20 de gener de 2021.
  6. ^ A b (EN) Lucian Constantin, el ransomware de Petya , ara té el doble de problemes , el 13 de maig de 2016. Consultat el 20 de gener de 2021.
  7. ^ (EN) Naveen Goud, l'empresa ucraïnesa de programari de comptabilitat, es nega a responsabilitzar-se de Cyber ​​Attack a cybersecurityinsiders.com. Consultat el 20 de gener de 2020 .
  8. ^ (EN) Peter Sayer, la policia ucraïnesa s'apodera d'ordinadors que van propagar l'atac NotPetya a nivell mundial , el 5 de juliol de 2017. Recuperat el 20 de gener de 2021.
  9. ^ A b (EN) Tom Spring, ExPetr Called to Wiper Attack, Not Ransomware , 29 de juny de 2017. Consultat el 20 de gener de 2021.
  10. ^ A b (EN) Thomas Brewster, 3 coses que podeu fer per aturar el ransomware "NotPetya" que fa malbé el vostre PC . Recuperat el 20 de gener de 2021 .
  11. ^ a b( EN ) GReAT, Schroedinger's Pet (ya) , a securelist.com , 27 de juny de 2017. Recuperat el 19 de gener de 2021 .
  12. ^ (EN) Thomas Brewster, Another Massive Ransomware Outbreak Going Global Fasting , 27 de juny de 2017. Consultat el 20 de gener de 2021.
  13. ^ A b (EN) Michael Mimoso, Complex Petya-Like Outbreak Pire que Ransomware WannaCry , 27 de juny de 2017. Consultat el 20 de gener de 2021.
  14. ^ (EN) Anton Ivanov i Fedor Sinitsyn, PetrWrap: el nou ransomware basat en Petya utilitzat en atacs específics contra securelist.com, 14 de març de 2017. Recuperat el 15 de gener de 2021.
  15. ^ (EN) Nicole Perlroth, Mark Scott i Sheera Frenkel, ciberatac Hits Ukraine Then Spreads International , 27 de juny de 2017. Recuperat el 17 de gener de 2021.
  16. ^ (EN) Lily Hay Newman, A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks , 27 de juny de 2017. Consultat el 19 de gener de 2021.
  17. ^ (EN) Anton Ivanov and Orkhan Mamedov, ExPetr / Petya / NotPetya is a Wiper, Not Ransomware , a securelist.com, 28 de juny de 2017. Consultat el 15 de gener de 2021.
  18. ^ (EN) Olivia Solon i Alex Hern, Atac de ransomware "Petya": què és i com es pot aturar? 28 de juny de 2017. Recuperat el 17 de gener de 2021 .
  19. ^ (EN) Benvolgut McGoogan, un investigador de seguretat crea una "vacuna" contra l'atac de ransomware , 28 de juny de 2017. Consultat el 20 de gener de 2020.
  20. ^ (EN) Lucian Constantine, Experts crack Petya ransomware, hard drives enable decryption for free , 11 d'abril de 2016. Consultat el 20 de gener de 2020.
  21. ^ (EN) Andrew Griffin, Ciberatac "Petya": el sistema de control de radiació de Txernòbil afectat per un pirateig mundial , el 27 de juny de 2017. Recuperat el 19 de gener de 2021 .
  22. ^ (EN) Ellen Nakashima, militar rus , estava darrere del ciberatac "NotPetya" a Ucraïna, conclou la CIA , el 13 de gener de 2018. Recuperat el 19 de gener de 2021.
  23. ^ (EN) Morgan Chelfant, administrador de Trump , culpa Rússia d'un ciberatac mundial massiu , el 15 de febrer de 2018. Recuperat el 19 de gener de 2021.
  24. ^ (EN) Ivana Kottasová, el Regne Unit , culpa Rússia d'haver paralitzat el ciberatac , el 15 de febrer de 2018. Recuperat el 19 de gener de 2021.
  25. ^ (EN) Jon Yeomans, fabricant de Dettol, Reckitt Benckiser, adverteix que els ingressos seran afectats en netejar el ciberatac de Petya , el 6 de juliol de 2017. Recuperat el 19 de gener de 2021.
  26. ^ (EN) Guardian Staff, ciberatac de Petya: la fàbrica de Cadbury va colpejar a mesura que el ransomware s'estenia a les empreses australianes , el 28 de juny de 2017. Recuperat el 19 de gener de 2021.

Articles relacionats

Enllaços externs