Od kilku godzin w wielu poważnych instytucjach na całym świecie, nie tylko na Ukrainie jak twierdzą media, trwa panika. Komputery są zablokowane i mamy powtórkętego, co działo się miesiąc temu. Tym razem okupu domaga się nie WannaCry, a ransomware o nazwie Petya (lub NotPetya). 300 dolarów w Bitcoinach. Co gorsza, jego ofiarą padają także w pełni zaktualizowane Windowsy, ale Petya raczej nie korzysta z żadnego 0day’a…
Uwaga! Ten artykuł sięszybko rozrasta i jest stale aktualizowany. Tu najważniejsze informacje:
- 1. Aby uchronić się przed działaniem tej wersji robaka, stwórz plik “C:\Windows\perfc”. Tak twierdzi ten badacz. Ten się z nim nie zgadza. Ale posiadanie pliku nie zaszkodzi, nawet gdyby miał działać tylko na 1 wariant ataku.
- 2. Jeśli włączy się wam program CHKDSK, szybko wyłączcie komputer! Petya wtedy zaczyna pracę. Jest szansa, że uratujecie jeszcze swoje pliki, a przynajmniej ich część,
gdyż niektóre (z listy rozszerzeń wskazanej poniżej) już są zaszyfrowane.- 3. Jeśli zostaliście zainfekowani, NIE PŁAĆCIE, atakujących odcięto od skrzynki. Nie zobaczą waszych wpłat i nie odeślą kluczy deszyfrujących.
- 4. Uwaga! Ofiarami mogą być także w pełni zaktualizowane Windowsy, bo Petya przechwytuje hasła administracyjne i próbuje przejąć kontrolę nad kontrolerami domeny, a następnie z tego poziomu się rozprzestrzenia na inne stacje robocze z wykorzystaniem PSEXEC i WMIC. Instrukcje jak zablokować te mechanizmy opisane są tutaj.
- 5. Sprawdźcie czy macie klucz “HKEY_CURRENT_USER\SOFTWARE\WC” z wartościami “Cred” i “Prx”. Jeśli tak, to wasz komputer był zainfekowany backdoorem, który pozwalał na kradzież danych od co najmniej kwietnia, a w czerwcu uruchomił NotPetyę na komputerach niektórych ofiar.
Polskie firmy też zainfekowane
Pierwsze ataki na terenie Polski nasi klienci odnotowali w okolicach godziny 13. Podobnie jak na świecie, problem dotknął firm z branży logistycznej, ale poszkodowane są również mniejsze spółki usługowo-handlowe, które nie są związane z tym sektorem rynku. Do bycia ofiarą ataku w Polsce przyznało się kilka polskich przedsiębiorstw. Firma Rabenze względu na “międzynarodowe zagrożenie wirusowe, wstrzymała wszystkie operacje transportowe“, a od rana nie funkcjonuje też InterCars.
Wiemy także o ofiarach wśród kancelarii prawnych, a wedle naszych Czytelników, zaatakowane zostały również firmy: TNT w Katowicach, Saint – Gobain, Kronospan, Mondelez we Wrocławiu oraz jedna z działających na polskim rynku firm medycznych obecna także za wschodnią granicą. Nikt więc nie powinien się więc czuć bezpiecznie.
Oddajmy na chwilę głos czytelnikom:
Mam info z pierwszej reki od kuriera. W TNT wszystkie kompy padly :D Maja ekrany z info o zaszyfrowaniu. Firma pracuje w trybie analogowym. Nie dzialaja skanery kurierow. Zlecenia przyjmuja recznie. Doreczaja paczki z kartkami a4 – na ktorych maja dlugopisem napisany nr paczki i adres doreczenia :D Paczki “na godzine” lub pobraniowe na razie sa wstrzymywane.
Wszystkie komputery Mondelēz International zostały zainfekowane – podobno ok 100 000 kompów, nie tylko we Wrocławiu. Nie ma internetu, linie produkcyjne też stoją. Informacja z pierwszej ręki (dosłownie naocznego świadka). We Wrocławiu to było ok. 13:30.
Cała sieć korporacyjna Saint – Gobain w Polsce i świecie jest ofiarą ataku hackerskiego. Infekcją zajmuje się Microsoft, Kasperski oraz specjaliści wojskowi z Francji. Zagrożona jest produkcja w automotive.
Co ważne, nie jest jeszcze jasne jak dokładnie rozprzestrzenia się Petya. Czy podobnie jak w przypadku WannaCry jest to tylko i wyłącznie atak na SMB (exploit NSA, ETERNALBLUE), czy może tym razem dodano także wektor socjotechniczny (np. z zainfekowanym załącznikiem e-maila). Ten artykuł będzie regularnie aktualizowany i kiedy uda nam sięcoś potwierdzić, dodamy w aktualizacji (UPDATE: niżej znajdziecie więcej informacji dot. propagacji, ustalono że głównym wektorem ataku była podmieniona aktualizacja oprogramowania do rozliczeń podatkowych M.E.Doc z którego muszą korzystać firmy na Ukrainie).
To co teraz jest pewne, to fakt, że zainfekowane komputery naszych klientów miały łatki na WannaCry, a mimo to padły ofiarą. To sugeruje, że ransomware może wykorzystywać nową podatność, która była łatana późniejszymi niż MS17-010 łatkami. (UPDATE: Na załatane stacje robocze Petya dostawała się przez mechanizm WMIC, po wcześniejszym wykradnięciu przez malware poprawnych haseł administratorów). Zainfekowane komputery pokazują taki komunikat:
Obserwujemy też drugi wariant komunikatu. Na czerwonym tle (ale adres BTC taki sam). Wcześniej — tj. w trakcie ataku (szyfrowania), komputer wygląda tak, jak pokazuje to ukraiński wicepremier:
Co ciekawe, dyski zewnętrzne i dodatkowe, nie są szyfrowane. W obserwowanych przez nas próbkach pojawia się zawsze ten sam adres portfela BTC. Ransomware zawsze domaga się 300 USD wpłaconych w bitcoinach, a następnie prosi o przesłanie poniższego klucza i adresu BTC z którego dokonano wpłaty na adres e-mail przestępców:
wowsmith123456@posteo.net
Na chwilęobecną (17:00), 9 firm zdecydowało się na zapłatę okupu, a rachunek przestępców zebrał 1,12 BTC co daje ok. 10 000 PLN:
Wiemy też, że malware szyfruje pliki z tymi rozszerzeniami:
Wiele ofiar na całym świecie…
Pierwsze doniesienia o tym ataku spłynęły z Ukrainy. Padły tam banki, operatorzy, narodowi dostawcy energii (Ukrenergo) a także elektrownia w Czarnobylu (nie ma zagrożenia promieniowaniem) oraz producent samolotów Antonov. Plus setki firm prywatnych.
Jak zwykle w tym przypadku, oskarżenia skierowano pod kierunkiem Rosji. Ale czy jest to tajna operacja Kremla? Na razie za wcześnie, aby wyrokować — pamiętajmy też, że atrybucja w atakach komputerowych jest niezwykle trudna. Zwłaszcza, że na terenie Rosji także są ofiary tego ataku. Poszkodowany ma być m.in. paliwowy potentat Rosneft.
Dodatkowo, do paraliżu swojej firmy przyznała się duńska firma Maersk, co będzie o tyle dotkliwe, że odpowiada ona (jak wiele innych ofiar z rynku spedycyjnego) za transport towarów. Oczekujcie dużych opóźnień dostarczanych produktów w najbliższych dniach:
Leży też brytyjska agencja reklamowa. Zainfekowane są także firmy w Hiszpanii i Holandii. Za chwilę pewnie usłyszymy ofiarach w USA, bo Ameryka właśnie budzi siędo życia i firmy włączają komputery…
Na Ukrainie, skąd napłynęły pierwsze doniesienia — podobnie jak w przypadku WannaCry — już pojawiają się informacje o trudnościach w robieniu zakupów czy o pracownikach firm zwalnianych do domów — bo wszyscy polegają na komputerach, które nie działają. Oto jeden z ukraińskich supermarketów:
Jest też problem z bankomatami:
Mam komputer z Windows — co robić, jak żyć?
W przypadku WannaCry szans na odzyskanie danych zbyt wielkich nie było, nawet jeśli ktoś zapłacił przestępcom. Być może obsługa Petya jest lepiej przygotowana na “support” klientów. Jeśli dowiemy się, że ktośotrzymał klucz deszyfrujący po zapłacie, damy Wam znać. Jak zawsze w takich sytuacjach niesamowicie istotne jest, aby — jeśli to możliwe — nie płacić, a system przywrócićz backupów, wcześniej (tj. przed podpięciem do sieci w której mogą być inne zainfekowane maszyny) łatając go.
Jeśli ktoś nie ma backupów, sugerujemy płacić jak najszybciej (testowo na 1 komputer), sprawdzając, czy przestępcy rzeczywiście odsyłają klucz (na razie nie ma potwierdzenia ani zaprzeczenia w tym temacie). Bo jeśli okup to jedyna metoda, to im wcześniej wyślecie pieniądze, to z reguły tym szybciej odzyskacie dane. Wiadomo — moralnie nie powinno siętego robić, ale jak ktoś nie ma backupów a potrzebuje danych, to jest to jedyna możliwość na chwilę obecną (choć może warto poczekać aby sprawdzić, czy przestępcy rzeczywiście odsyłają klucze).
ZA PÓŹNO. NIE PŁAĆCIE!
Błyskotliwi administratorzy serwera pocztowego, z którego korzystają przestępcy, zablokowali im skrzynkę, odcinając ofiary od możliwości odzyskania swoich plików…
Na przyszłość (takich ataków jak ten jeszcze na pewno kilka przed nami) sugerujemy, tak na wszelki wypadek, kupić trochę Bitcoinów. Mogą się przydać… Zakup Bitcoina to nie jest prosta sprawa. Więc niektóre z ofiar, chociaż chcą zapłacić w tego typu atakach, bo pilnie potrzebują danych — to i tak będą musieli długo na nie poczekać. Zdobycie Bitcoina potrwa. Przesłanie i potwierdzenie transakcji w sieci Bitcoin też potrwa (nawet do 24 godzin, jeśli nie dodamy opłaty za transakcję), no i jeszcze pytanie jak sprawnie ofiary będą obsługiwane przez atakujących?
Jeśli jesteście ofiarą tego ataku, dajcie znać. Mamy dla was pewne informacje i pytania. Gwarantujemy anonimowość i z chęcią wymienimy się informacjami, którymi dysponujemy na temat tego ataku.
Aktualizacja 17:40
Według jednego z badaczy Petya ma wykorzystywać podatność MS17-010, czyli tę samą co WannaCry, ale równieżatak na dziurę “CVE-2017-0199“, ujawnioną w kwietniu i dotyczącą propagacji złośliwego oprogramowania przez pakiet Microsoft Office. To sugerowałoby, że wektor ataku ze złośliwym załącznikiem jest prawdopodobny.
Nadmieńmy też, że Petya jest obecna na rynku ransomware od paru lat. Wcześniej miała być rozwijana przez grupę Janus Cybercrime Solutions:
A proces infekcji tym malwarem wyglądał tak:
Dobrą prezentację na temat Petyi przygotowała polska badaczka, Hasherezade (tutaj PDF). Z kolei F-Secure informuje, że w przeszłości Petya dystrybuowana była poprzez fałszywe e-maile kierowane do działów HR i dotyczące procesów rekrutacji (CV). Wciąż jednak brak potwierdzenia, że dzisiejszy atak to ten sam wektor ataku. Być może w ogóle za dzisiejszą Petyą stoi ktoś inny, kto “podkradł” kod poprzedniej grupie i uzbroił go po swojemu. Przestępcy często korzystają z kodu innych grup, przystosowując go do siebie.
Dlaczego atakowane są także zaktualizowane systemy?
To na co zwracają uwagę niektórzy, to fakt, że tym razem zaatakowane zostały także Windowsy 10. Zaktualizowane. A w kilku firmach ofiarą były tylko te komputery, które były podpięte pod Active Directory, natomiast ich “bliźniacze” stacje odpięte od domeny, nie zostały zainfekowane. Czyżby po przejęciu DC ransomware infekował poprzez wypchnięcie paczki na wszystkie zarządzane stacje robocze?
Atak na zapatchowane systemy jest też możliwy, dlatego że Petya korzysta z mechanizmów WMIC oraz PSEXEC. Dodatkowo, Petya po zainfekowaniu komputera odczekuje 30-40 minut, zanim rozpocznie szyfrowanie. Dlatego, nawet jak jesteście zainfekowani, możecie jeszcze uratować swoje stacje, wyłączając je jak najszybciej.
Starą wersję Petya rozkładamy na czynniki pierwsze też w ramach naszego szkolenia z analizy malware, gdzie pokazujemy jak szybko każda osoba z podstawową znajomością komputera może określić, czy dana próbka jest złośliwa i co konkretnie próbuje robić w systemie. Najbliższa edycja 6-7 lipca we Wrocławiu — zapraszamy do udziału — dowiecie się, jak w przypadku kolejnych ataków szybko określić co sięstało i dlaczego. To bardzo przydatna w dzisiejszych czasach wiedza :)
Dlaczego, choć WannaCry nie dotknął mocno Polski, to Petya, korzystająca z tej samej podatności sieje takie spustoszenie? Przed WannaCry, który propagował się przez skan podpiętych do publicznego internetu niezałatanych Windowsów, Polaków chroniły filtry operatorów, niedopuszczające ruchu przychodzącego na portach Samby. W przypadku Petya, jeden zainfekowany (np. złośliwym załącznikiem) host w środku może rozpropagować atak na niezałatane Windowsy, ale także na zaktualiowane Windowsy, za pomocą domeny i wspomnianych wyżej mechanizmów WMIC i PSEXEC, zwłaszcza jeśli jest to serwer. Czyli w przeciwieństwie do WannaCry, atak zaczyna sięod środka sieci, a nie tylko z zewnątrz.
Aktualizacja 22:00
Ukraińska Cyberpolicja znalazła przyczynę i źródło ataku. Ustaleniami podzieliła się tutaj. Winne jest popularne oprogramowanie “M.E.doc”, z którego korzystają ukraińskie instytucje i firmy, do rozliczeń podatkowych. Ktoś podmienił aktualizację tego oprogramowania na serwerze “upd.me-doc.com.ua (92.60.184.55)” na złośliwą, a tak poprzez funkcję automatycznej aktualizacji została zaciągnięta i uruchomiona w sieciach firm i instytucji.
Podmieniona binarka tworzyła plik rundll32.exe, a następnie:
– skanowała lokalną sieć pod kątem portów TCP/139 i TCP/445;
– tworzyła plik perfc.bat;
– uruchamiała cmd.exe z komendą:/ c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35
– tworzyła plik ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
– tworzyła plik dllhost.dat.
Dalej ransomware rozprzestrzeniał sięprzez podatności znane z WannaCry (SMBv1). Ale jak dodają inni badacze, propagacja w sieci lokalnej następowała też na skutek przechwytywanych haseł dostępowych do domeny przy pomocy WebDAV i narzędzia LSADump. Dzięki temu ofiarami stawały się nawet te Windowsy, które nie miały otwartej Samby lub były zaktualizowane, ale znajdowały sięw domenie!
Atak na polskie sieci może być skutkiem ubocznym — część z naszych klientów przyznała, że ma oddziały w Ukrainie. Połączenie z nimi (zainfekowanymi) siecią, spowodowało propagacjęrobaka do Polski.
Aktualizacja 22:22
Znaleziono lokalnego kill-switcha. Aby zdeakwywować (uchronić się przed Petyą) stwórz plik:C:\Windows\perfc
Co prawda ten badacz uważa, że powyższy kill switch nie działa, ale jego posiadanie na pewno nie zaszkodzi.
Aktualizacja 28.06.2017, 11:00
Badacze po bliższym przyjrzeniu się próbce skłaniają się ku tezie, że nie jest to dokładnie Petya, a inna rodzina ransomware’u, jedynie wykorzystująca część mechanizmów Petya. Dlatego też obecnie ten ransomware nazywany jest mianem NotPetya albo SortofPetya.
W Polsce natomiast zaczęło się właśnie spotkanie Rządowego Zespołu Zarządzania Kryzysowego, na którym pojawi się także Beata Szydło. Bardzo dobrze, że takie spotkania się pojawiają i bardzo jesteśmy ciekawi wniosków i ustaleń. Przypomnijmy tylko, podając za Polskim Radiem, że wczoraj, kiedy wiadomo było, że w Polsce jest kilkadziesiąt zainfekowanych firm, rządowe NC Cyber informowało o “braku zgłoszeń”. Mamy nadzieję, że NC Cyber pozyskało już aktualną wiedzę na temat wydarzeń i dyskusja podczas rządowego spotkania będzie wartościowa.
Tymczasem, bardzo dobrą analizę techniczną przygotowałzespół Microsoftu. Ich ustalenia potwierdzają wersję ukraińskiej cyberpolicji — pacjentem zero były stacje z zainstalowanym programem “M.E.doc”, którego podmieniona wersja została przesłana za pomocą mechanizmów automatycznej aktualizacji o godz. 10:30 wczoraj. Na Ukrainie, wedle Microsoftu, zainfekowanych zostało 12 500 komputerów, a ślady oprogramowania znaleziono w 64 krajach.
Aktualizacja 28.06.2017, 11:00
Jesteśmy po spotkaniu Rządowego Zespołu Zarządzania Kryzysowego:
Spotkanie Rządowego Zespołu Zarządzania Bezpieczeństwem jest bezpieczne – komputerów brak ;)
Ustalenia i wnioski? Jak informuje Polskie Radio:
ataków nie lekceważyć i niezwłocznie informować o nich policję,
W naszej opinii, tę radę możecie spokojnie zignorować. Wyjdzie to na korzyść zarówno Waszą, jak i Policji. Szczerze mówiąc, oczekiwaliśmy raczej planu weryfikacji, na ile możliwe w Polsce jest przejęcie tzw. łańcucha dostaw aplikacji takich jak np. Płatnik lub innych wymaganych przez instytucje rządowe aplikacji (czyli analogicznych do ukraińskiego M.E.Doc), które mają funkcje automatycznej aktualizacji. Plus wydanie zaleceń o zabezpieczeniu środowisk domenowych przed atakami w stylu Mimikatz, które sprawiły, że NotPetya rozprzestrzeniała się nawet na w pełni zaktualizowane Windowsy.
Aktualizacja 28.06.2017, 12:00
Trochę więcej zaleceń ujawnił minister Błaszczak:
Zalecenia mogą wydawać się oczywiste, ale mówimy o kwestiach niezwykle ważnych. Kwestia wykonywania kopii bezpiczeństwa, kwestia aktualizacji systemów, kwestia współpracy z CERT-ami, kwestia szkoleń pracowników.
I tych zaleceń nie ignorujcie.
Aktualizacja 29.06.2017, 7:00
Mamy złą wiadomość dla zainfekowanych. Wygląda na to, że NotPetya to nie ransomware, a wiper. Jeden z badaczy twierdzi, że Petya bezpowrotnie nadpisuje początkowe sektory dysku tak, że nigdy nie będzie się dało ich odzyskać.
Choć inny z badaczy zauważa, że nadpisanie tych sektorów nie powinno mieć znaczenia, bo nie są one używane, to także zgadza się z konkluzją, że celem NotPetya nie było zarabianie na okupach, a niszczenie.
Essentially on any standard Windows operating system there is nothing between sector 1 and sector 64, meaning the 24 sectors Petya “destroys” don’t contain anything at all, and the developer likely knows this.
Wtórują mu badacze z Kaspersky’ego:
We have analyzed the high-level code of the encryption routine and determined that after disk encryption, the threat actor could not decrypt victims’ disks. To decrypt, the threat actors need the installation ID. In previous versions of seemingly similar ransomware such as Petya/Mischa/GoldenEye, this installation ID contained the information necessary for key recovery. ExPetr (aka NotPetya) does not have that installation ID, which means that the threat actor could not extract the necessary information needed for decryption. In short, victims could not recover their data.
Co to oznacza? Albo, że Petya ma błąd, którego przestępcy nie wykryli na testach albo że za Petyą wcale nie stoi grupa, która liczyła na zarobek. Udawanie ransomware mogło mieć na celu skłonienie prasy do myślenia, że mamy do czynienia z grupą przestępców, kiedy tak naprawdę za atakiem stoi ktoś, kogo celem jest niszczyć a nie zarabiać. Istnieje także możliwość, że atak “niszczący” został odpalony aby zatrzeć ślady po innych operacjach. Większość firm przeinstaluje systemy (usuwając tym samym logi) i być może na to liczą atakujący. (UPDATE: Bingo! Patrz dalsze aktualizacje tego artykułu — okazało się, że atakujący niektóre z komputerów zainfekowali jeszcze w kwietniu!)
Dlaczego ktoś miałby niszczyć? I dlaczego akurat firmy z Ukrainy? Pozostawmy to jako zadanie domowe dla bystrych czytelników…
Warto też zwrócić uwagę, że “profesjonalni” twórcy ransomware nie korzystają z 1 adresu BTC do obsługi wpłat, nie zakładają skrzynek e-mailowych u publicznych dostawców poczty i nie generują długich, skomplikowanych “ID”, które ciężko podać. Innymi słowy, raczej upraszczają procedurę wpłaty okupu (bo to dla nich większy zysk), niż ją utrudniają lub narażają na fiasko. Twórcy Petya w każdym przypadku postąpili na odwrót. Pośpiech? Głupota? Czy kamuflaż?
To co teraz jest pewne, to że nawet jakby skrzynka kontaktowa działała, a przestępcy chcieli przekazywać klucze deszyfrujące, to i tak rozszyfrowanie plików nie byłoby możliwe. Przesłanie “ID” z ekranu proszącego o okup nie pozwoli nikomu na wygenerowanie klucza deszyfrującego, niezależnie od tego, czy pomyłka w kodzie NotPetya wynika z błędu programisty czy świadomego działania.
Aktualizacja 5.07.2017, 10:12
Od ataku minął tydzień i na przestrzeni ostatnich dni pojawiły się nowe, ciekawe informacje. Najciekawszą, ale jak się okazało FAŁSZYWĄ, był wniosek poczyniony przez analityków F-Secure, że NotPetya korzystała z kodu exploita na EternalBlue jeszcze w lutym (czyli przed ujawnieniem exploita przez grupę ShadowBrokers). F-Secure wycofał się z tego twierdzenia, bo timestamp na którym bazował, mógł być sfałszowany i nie ma możliwości udowodnienia tezy o posiadaniu przez twórców NotPetyi exploita już w lutym.
Pierwsza wersja artykułu F-Secure
Rewelacje od F-Secure nie były jednak jedynymi, które wskazywały na to, że atak NotPetya miał być planowany na długo przed zeszłotygodniowym wybuchem.
Grupa NotPetya kontrolowała ukraińskie firmy-ofiary od co najmniej kwietnia
Opublikowany wczoraj raport firmy ESET ujawnia dowody na to, że mechanizm aktualizacji, a nawet cały serwer firmy M.E.Doc produkującej oprogramowanie do rozliczeń podatkowych wykorzystywanych w Ukrainie, od którego zaczął sięatak, znajdował się już od kwietnia 2017 pod kontrolą atakujących stojących za atakiem NotPetya.. ESET nazywa tę grupę TeleBots.
Co więcej, 1 czerwca operator serwerowni, w której hostowane są serwery M.E.Doc, czyli firma WNet I.S.P. została oskarżona o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne. Nie wiadomo jednak, czy ten incydent miał związek z atakiem NotPetya — wszak są dowody na to, że serwery firmy M.E.Doc były przejęte dużo wcześniej.
Kod źródłowy firmy M.E.Doc został wykradziony
Analiza backdoora znajdującego się w pliku ZvitPublishedObjects.dll, który był elementem złośliwych aktualizacji oprogramowanie M.E.Doc, każe przypuszczać, że atakujący mieli dostęp do pełnego kodu źródłowego oprogramowania M.E.Doc. Plik biblioteki zawiera bowiem, poza złośliwymi elementami, dużo prawdziwego kodu oprogramowania M.E.Doc. Jak piszą badacze ESET-a:
It seems very unlikely that attackers could do this without access to M.E.Doc’s source code.
Zaszyty w bibliotece backdoor odczytywał numery EDRPOU (ukraiński odpowiednik REGON-u) skonfigurowane w oprogramowaniu podatkowym M.E.Doc, dzięki czemu atakujący wiedzieli, jaką spółkę udało im się zainfekować. Poza numerem EDRPOU, backdoor pobierał informacje na temat używanych w firmie serwerów proxy i kont pocztowych (wraz z loginami i hasłami). Te dane były następnie zapisywane w rejestrze Windowsa w kluczu:
HKEY_CURRENT_USER\SOFTWARE\WC
pod wartościami o nazwach Cred i Prx. Jeśli więc znajdziecie takie wartości w swoim rejestrze, jest duża szansa, że wasz komputer był przynajmniej przez chwilę zainfekowany.
Brak zewnętrznego serwera C&C
Żeby było ciekawiej, złośliwe oprogramowanie nie korzystało z zewnętrznych serwerów C&C. Malwarem zarządzał …oficjalny serwer aktualizacji oprogramowania M.E.Doc, kontrolowany przez atakujących (upd.me-doc.com[.]ua). Wykradane z zainfekowanych komputerów informacje były przesyłane w żądaniu jako ciasteczka:
Komunikacja w drugą stronę mogła wywołać na zainfekowanej stacji następujące polecenia:
- 0 – RunCmd Uruchomienie dowolnej komendy
- 1 – DumpData Zapisanie danaych do pliku
- 2 – MinInfo Zebranie informacji o komputerze ofiary
- 3 – GetFile Pobranie pliku z komputera ofiary
- 4 – Payload Zapisanie danych do pliku i uruchomienie go
- 5 – AutoPayload Jak (4) ale plik jest plikiem DLL, który będzie uruchomionyh przez rundll32.exe, potem nadpisany i skasowany.
Według badaczy firmy ESET, funkcja “5” idealnie pasuje do sposobu, w jaki wystartowała epidemia NotPetyi…
Całkowicie przejęty producent ważnego oprogramowania
Z powyższego wynika, że firma M.E.Doc miała od dawna całkowicie przejętą infrastrukturę. Nie był to tydzień, bo atakujący mieli sporo czasu na zapoznanie się z kodem źródłowym oprogramowania M.E.Doc (pełna instalka to 1,5GB). Następnie źródła zmieniono tak, aby generowane przez oprogramowanie aktualizacje zawierały backdoora.
Z backdoora atakujący korzystali od co najmniej kwietnia (nie wiadomo jakich plików dokładnie szukali i w środowiskach których z zainfekowanych firm byli aktywni). Wreszcie, pod koniec czerwca wgrali i uruchomili przy pomocy backdoora robaka NotPetyę, maskującego się sięjako ransmoware.
Czyżby ten ruch miał na celu zatarcie śladów po wcześniejszej działalności backdoora? I czy firma M.E.Doc to jedyna firma, która jako dostawca obecnego na komputerach ukraińskich firm oprogramowania, zostałą całkowicie przejęta?
A gdyby to miało miejsce w Polsce?
Na koniec, warto się zastanowić, co by sięstało, gdyby “atak na dostawcę”(ang. supply-chain attack) zdarzył się w Polsce, a ofiarą padł np. Płatnik lub inne popularne na komputerach polskich firm “urzędowe” oprogramowanie.
Kilka tygodni temu pisaliśmy o nieudanej aktualizacji Płatnika, którą blokowały antywirusy:
fot. lotniskowiec z Wykopu
Tego samego dnia, zniknęła też na pewien czas strona ZUS-u:
Prewencyjnie sugerujemy więc odseparowanie w firmowej sieci komputerów, na których działa wymagane prawem, “urzędowe” oprogramowanie od zewnętrznych dostawców, zwłaszcza takie, które się “samo aktualizuje”. Przykładowo, komputer z zainstalowanym Płatnikiem to obowiązek w niektórych firmach, ale nie jest konieczne, aby z tego komputera był dostęp do pozostałych maszyn w sieci.
Warto też przyjrzeć się publikacji Microsoftu, która pokazuje jak Windows 10 ogranicza lub uniemożliwia działanie tego typu zagrożeń (na grafice zaznaczono mechanizmy wbudowane w system, które po włączeniu i odpowiedniej konfiguracji sparaliżowałyby ten atak):
Aktualizacja 5.07.2017, 13:03
Dziś w nocy osoby stojące za atakiem NotPetya przetransferowały środki z rachunku 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX, który służył do zbierania okupu. Bitcoiny zostały podzielone na 3 transakcje. Do momentu transferu, na rachunku znajdowało się ok. 4 BTC (ok. 39 000 PLN):
Dwie z transakcji przesłały niewielkie kwoty (0,01 BTC, ok. 96 PLN) na rachunki serwisów-wklejek (opłacenie kont “Pro”):
- Pastebin.com
- Deeppaste (http://depastedihrn3jtw.onion)
Zaś największa transakcja przesunęła środki na adres 1Ftixp78FjTWFi3ssJjBw5NqKf5ZPQjXBb (rachunek bez żadnej historii).
Oświadczenie atakujących
Chwilę po transakcjach, w serwisach Pastebin i DeepPaste pojawił się taki komunikat:
Atakujący informują w nim, że za 100BTC (ok. 950 000 PLN) oddadzą klucz pozwalający na rozszyfrowanie plików, jakie szyfrowała Petya. Jako dowód na jego posiadanie podaje 2 URL-e:
https://Mega.nz/#!YeIXWIwI!BpUlwnLLD_HiTNcg7ASihMRqs6RESZ-6bXBMFVWESXo
https://Mega.nz/#!EWg3mSLL!ipiQ6cXA9GG1DPEjJWoWu5JWmMy4SCxlAt270GgiFHY
pod którymi znajdują się pliki public.sha256.dgst oraz public.pem:
Sugerowana w treści wklejki komenda potwierdza, że podpis jest prawdziwy. A więc autor wiadomości dyspuje kluczem prywatnym z pary. Co to oznacza? Otóż klucz publiczny, którego posiadanie kryptograficznie potwierdził autor wklejki, to ten sam klucz, którym NotPetya szyfrowała generowane przez siebie klucze “sesyjne” używane do szyfrowania plików na dyskach swoich ofiar.
Dla przypomnienia, NotPetya szyfrowała 2 kluczami (AES i Salsa). Najpierw pliki o wybranych rozszerzeniach szyfrowała generowanym przez siebie, unikatowym dla każdej ofiary kluczem AES, który następnie zapisywała na dysku ofiary szyfrując go wcześniej kluczem publicznym. Dopiero później (po restarcie) przechodziła do szyfrowania bootsektora dysku innym kluczem Salsa, który na skutek (świadomego lub nie) błędu, nie jest możliwy do odzyskania. Klucz prywatny oferowanym na sprzedaż przez przestępców ma być kluczem który pozwoli odszyfrować wszystkie klucze (znajdujące się na komputerach ofiar) jakimi szyfrowano pliki przed restartem.
Gdzie trzeba wpłacić 100BTC? Tego atakujący nie podają. Ale zostawili namiar na siebie. W trakcie rozmowy na chacie z nimi, odpowiadają (!) i podają taki adres:
Cena może wydawać się wygórowana, ale (jeśli klucz jest prawdziwy) jego zdobycie pozwoli na odszyfrowanie plików ze wszystkich komputerów zainfekowanych NotPetya. Przy czym trzeba będzie je ręcznie “wyłuskać” z nośnika, gdyż — co zresztą atakujący sam przyznaje we wklejce — ten klucz nie pozwoli na odszyfrowanie bootsektora, a więc MTF pozostanie utracone.
Dziennikarze serwisu Motherboard rozmawiali z atakującymi i poprosili ich o twardy dowód (rozszyfrowanie pliku zaszyfrowanego NotPetya). Do tej pory nie uzyskali odpowiedzi.
Przykrywanie ważniejszego tematu?
Część badaczy dodatkowo uważa, że ten ruch (wypłata BTC, oferta sprzedaży klucza dająca nadzieje na odzyskanie plików) to działanie, które ma przekonać opinię publiczną do tego, że za atakiem stoją mimo wszystko niezbyt profesjonalni i rozgarnięci przestępcy, którym po prostu “nie wyszedł” atak ransomwarem (tj. popełnili dużo błędów), a nie służby jakiegoś kraju, które pod flagą “ransomware” przemyciły narzędzie mające na celu tak naprawdę niszczyć dane a nie je szyfrować. Choć wczorajsze rewelacje ESET-u, opisane w naszym wcześniejszym artykule, dają twarde dowody, że raczej mamy do czynienia z służbami…
Aktualizacja 5.07.2017, 16:53
Z 2 niezależnych źródeł, firm mających swoje oddziały i/lub partnerów biznesowych na Ukrainie otrzymaliśmy informację, że dziś przed kilkudziesięcioma minutami wystąpiły problemy podobne do zeszłotygodniowego ataku. Komputery znów są unieruchomione. Na razie nie wiadomo, czy jest to wynik niepoprawnego posprzątania po poprzednim ataku, czy może nowe zagrożenie powiązane/niepowiązane z NotPetyą. Będziemy informowali Was na bieżąco w kolejnych aktualizacjach.
Aktualizacja 6.07.2017, 08:18
Osoby, które opublikowały kryptograficzny dowód na posiadanie prywatnego klucza pozwalającego odszyfrowywać klucze, którymi szyfrowane były pliki na komputerach ofiar, zademonstrowały odszyfrowywanie w praktyce. Przesłany im zaszyfrowany plik, razem z plikiem klucza (readme.txt) odesłały jako plik rozszyfrowany.
W międzyczasie, ukraińska cyberpolicja opublikowała video z (uzbrojonego!) wejścia do siedziby M.E.Doc:
Na szczęście, przed zarekwirowaniem serwerów dotarła do nich grupa badaczy z Cisco, którzy właśnie podzielili sięswoją analizą logów pochodzących z serwerów M.E.Doc. Ta analiza wyjaśnia, jak atakujący kontrolowali ofiarę i jak wyglądała ich ścieżka ataku:
- Analiza zaczęła się 29 czerwca, na miejscu, w siedzibie firmy M.E.Doc, która chętnie nawiązała współpracę z zespołem Cisco, choć wcześniej twierdziła, że nie jest odpowiedzialna za problemy ukraińskich firm i w wypowiedziach w prasie, że “100 razy sprawdzała aktualizację swojego oprogramowania i nie znalazła w niej niczego podejrzanego”.
- Odkryto webshella (lekko zmodyfikowany PAS) pod adresem hxxp://www.me-doc.com.ua/TESTUpdate/medoc_online.php z timestampem May 31 14:45 2017
- Ustalono, że ktoś (nie wskazuje się jak) wykradłhasło administratora do serwera M.E.Doc, a następnie zalogował się na niego jako root i podmienił konfigurację webserwera nginx. Podmieniony config nie mógł zostać odzyskany (został nadpisany) ale wpisy w logach dają dobre wyobrażenie o tym, co robiły dodane do niego dyrektywy:
[error] 23401#0: *374685644 upstream timed out (60: Operation timed out) while connecting to upstream, client: [REDACTED], server: upd.me-doc.com.ua, request: "GET /last.ver?rnd=1b2eb092215b49f5b1d691b5c38e3a74 HTTP/1.1", upstream: "http://176.31.182[.]167:80/last.ver?rnd=1b2eb092215b49f5b1d691b5c38e3a74", host: "upd.me-doc.com.ua"
Żądania do serwera update’ów, jak widać, były przekierowywane na adres IP należący do puli OVH, na której działał reseller thcservers.com.
- O 19:46 serwer OVH został całkowicie wyczyszczony komendą dd if=/dev/zero (tak, tyle wystarczy).
- Błędy w logach zaczynają sięo 9:11:59, a kończą12:31:12 co sugeruje, że po tym oknie czasowym atakujący nie infekowali kolejnych firm.
- O 12:33 przywrócono oryginalną konfigurację nginx.
- O 14:11 ktoś z adresu łotewskiego IP wylogowałsię z SSH:
Received disconnect from 159.148.186.214: 11: FlowSshClientSession: disconnected on user's request
Oto podsumowanie działań atakujących w formie infografiki:
Badacze z Cisco zauważają, że jeśli atakujący w tak widowiskowy sposób ujawnił wejście do sieci 80% ukraińskich spółek (klientów M.E.Doc) to raczej musi być w posiadaniu innej możliwości wnikania w ich infrastrukturę:
team assesses with moderate confidence that it is unlikely that they would have expended this capability without confidence that they now have or can easily obtain similar capability in target networks of highest priority to the threat actor.
Aktualizacja 6.02.2018, 19:52
Okazuje się, że NotPetya przejęła 10% wszystkich komputerów na Ukrainie. W tym wątku także ciekawe podsumowania — ile komputerów reinstalowały poszczególne firmy. I jakie to były firmy.
Aktualizacja 18.02.2018, 21:25
Dzień po dniu, 5 krajów (USA, UK, Kanada, Australia, Nowa Zelandia) wydało oświadczenia w których oficjalnie wskazują na Rosję, jako twórcę ataku NotPetya:
https://www.gov.uk/government/news/foreign-office-minister-condemns-russia-for-notpetya-attacks
https://www.whitehouse.gov/briefings-statements/statement-press-secretary-25/
https://www.gcsb.govt.nz/publications/news/new-zealand-joins-international-condemnation-of-notpetya-cyber-attack/
http://minister.homeaffairs.gov.au/angustaylor/Pages/notpetya-russia.aspx
https://www.cse-cst.gc.ca/en/media/2018-02-15
* * * UWAGA * * *
Ten tekst jest aktualizowany na bieżąco. Dla przejrzystości dodajemy/zmieniamy zdania w artykule powyżej. Staramy się, aby zawierał on tylko aktualne i sprawdzone informacje — ale o to ciężko, ponieważ analiza nowego ransomware zajmuje trochę czasu (a atak jest bardzo świeży). Nie pomaga też fakt, że jednocześnie trwają inne kampanie, z którymi ten atak jest mylony (stąd wiele błędnych tez).
Dlatego odwiedzaj ten artykuł regularnie. A w oczekiwaniu na kolejną aktualizację artykułu, przejrzyj nasz wykład poświęcony ransomware — zeszłomiesięcznemu atakowi WannaCry. Wiele rad i opisów, które tam padły, pozostają aktualne także w tym przypadku: