martedì 14 marzo 2017

PetrWrap: qualcuno ha rubato il ransomware Petya e lo ha reso ancora più temibile


E' stata individuata, in the wild, una versione "non autorizzata" del ransomware Petya, pesantemente rimodificata e che colpisce sopratutto le aziende. Questa nuova versione di Petya si chiama PetrWrap e attacca appunto reti aziendali usando l'utilità di Windows PsExec per installarsi su server e endpoint vulnerabili. 

Qualcuno ha "sviluppato" il ransomware Petya
Di Petya ne avevamo già parlato qua, come esempio di RaaS (Ransoimware as a service): fa parte di una famiglia di ransomware che comprende anche Mischa e GoldenEye, tutti e tre in vendita nel Dark Web.  Le persone che "affittano" Petya attraverso il servizio online ricevono il codice binario dannoso che dovrà poi essere inviato alle vittime via campagne di spam oppure tramite exploit kit, a seconda del metodo di distribuzione che viene scelto. Una volta che le vittime vengono infettate, tutte le informazioni sono inviate al gestionale di Petya, tramite il quale si gestiscono anche le operazioni di pagamento. I soldi ricevuti dai riscatti vanno in parte all'affittuario del ransomware, in parte ai gestori del servizio. 


PetrWrap non sembra una versione ufficiale dei ransomware di questa famiglia, ma anzi il lavoro di qualcuno che ha "sottratto" il ransomware originale e ne ha poi "rattoppato" il codice per eseguire una serie di comandi personalizzati. 

Che cosa fa?
Chi ha sviluppato il ransomware ha usato una tecnica detta "wrapping":probabilmente a questo si deve il nome del ransomware. Lo sviluppatore ha cioè preso uno dei binari di Petya e ne ha modificato il funzionamento, rendendo il ransomware indipendente dal portale di gestione di Petya. Il wrap di Petya ha consentito al nuovo attore di beneficiare del solido (e tutt'ora irrisolvibile) sistema di criptazione di Petya, ma di poter inviare le chiavi di criptazione e gestire i pagamenti tramite propri server sotto suo controllo esclusivo. Come Petya appunto, sostituisce il codice MBR, il quale serve ad avviare il sistema operativo, con un codice che cripta l’MFT e mostra la richiesta di riscatto. L’MFT è un file speciale sul volume NTFS che contiene informazioni riguardo a tutti gli altri file: il loro nome, dimensione, mappatura entro i settori dell’hard disk. I file degli utenti non vengono criptati, ma senza l’MFT, il Sistema Operativo non può conoscere dove sono locati i file sul disco. 

Come si diffonde?
Pare che PetrWrap si diffonda negli endpoint delle reti aziendali cercando server RDP non sicuri, lanciando un attacco brute-force per trovare la password, compromettendo quindi il server e usando altri strumenti per ottenere sempre più  privilegi e accedere alla rete aziendale. 

La richiesta di riscatto...Dalla richiesta di riscatto sono spariti tutti i riferimenti a Petya e l'immagine del teschio rosso: le vittime non possono quindi rendersi conto di essere state colpite da una versione di Petya, perchè non c'è da nessuna parte un riferimento a questo ransomware. 

Nessun commento:

Posta un commento