A3SEC alerta sobre ataque masivo del Ransonware NYETYA, denominado así por Cisco Talos - Comprehensive Threat Intelligence. Este malware es una variante más de WannaCry y Petya.
NYETYA es un virus que se identificó el 28 de junio de 2017, haciendo su primera aparición en organizaciones gubernamentales de Ucrania, su ejecución es llevada a cabo a través de una actualización de un software de gestión de impuestos llamado MeDoc. Se ha identificado que este malware se ha expandido a diferentes países, como: España, Francia, Dinamarca, Reino Unido, Rusia y EE.UU. Igualmente, como las anteriores versiones de esta famila de Ransomware, su comportamiento es similar al momento de sobrescribir master boot record (MBR) y cifrarlo.
Lo curioso de esta variante de PETYA, es que NYETYA no tiene un fin financiero, puesto que el sitio donde se solicita hacer el pago para la clave de cifrado esta caída, además su comportamiento sobre el footprinting del sistema infectado es mucho más profunda.
El ransomware una vez haya sido exitoso o no, al momento de hacer la escala de privilegios a través del Adjust Token Privilege, pasa a sobreescribir el master boot record; después el malware inicia un mapeo de red a través del puerto 139-TCP NetBIOS, así de esta manera encontrar posibles máquinas vulnerables a CVE-2017-0199, especialmente a EternalBlue y EternalRomance. Una vez el malware este dentro de la maquina este creará un archivo en los temporales, basado en una herramienta llamada Mimikatz la cual recolectará credenciales de usuarios desde la memoria.
Estos son los sistemas afectados:
• Windows XP
• Windows 2003
• Windows 2008
• Microsoft Windows Vista SP2
• Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
• Windows 8.1 for 32-bit Systems
• Windows 8.1 for x64-based Systems
• Windows RT 8.1
• Windows Server 2012 and R2
• Windows 10
• Windows Server 2016
• Microsoft Office 2010 Service Pack 2 (32-bit editions)
• Microsoft Office 2010 Service Pack 2 (64-bit editions)
Estas son algunas acciones recomendadas del experto Jorge Imúes, director de operaciones de A3SEC para implementar en las empresas.
• Identificar si hay equipos vulnerables con InsightVM (aka Nexpose) utilizando la firma CVE-2017-0143, Puede descargar una versión de prueba de InsightVM desde https://www.rapid7.com/products/insightvm/download/virtual-appliance/, en formato OVA, y luego montarla en cualquier sistema de virtualización, incluido Virtualbox. Recibirá en su correo un serial para el periodo de prueba.
• Borrar todo los archivos en %TEMP%, lo más frecuentemente posible, puede acceder a ella con la combinación de teclas (win + r) y escriba %TEMP% y borre todo lo que se encuentre dentro de esa carpeta.
• Seguir instrucciones acerca como fortalecer el puerto 139 TCP/UDP
• Crear un archivo en la ruta C:\Windows\perfc.dat y establecerle permisos de solo lectura.
• Instalar en los equipos vulnerables el boletín MS17-010 (Kb 4013389).
• Si ya fue víctima del ataque manténgase actualizado a través de las redes sociales sobre los avances que hay para solucionar el problema #Nyetya.