Blogg

Nytt Globalt IT-angrepp - Petya [Uppdaterad]

27 jun.Säkerhet

Från:

https://www.cert.se/2017/06/nytt-angrepp-av-utpressningsprogram

Uppdaterad | Publicerad - ransomware, utpressningsprogram, petya

Nytt angrepp av utpressningsprogram

Vad har hänt

Under eftermiddagen den 27 juni började en ny typ av utpressningsprogram snabbt sprida sig globalt. Ett tidigare känt utpressningsprogram vid namn Petya har uppdaterats med ny funktionalitet för att snabbt kunna sprida sig till andra nätverksansluta Windows-datorer, liknande WannaCry.

Andra namn på samma utpressningsprogram är GoldenEye, NotPetya, Petrwrap, Nyetya.
I denna text används namnet Petya.

Infektionsvektorer och spridningsmetoder

En av de initiala infektionsvektorerna är en uppdatering till skatteberäkningsprogrammet MEDoc från ett ukrainskt mjukvarubolag vid namn M.E.Doc. Enligt Microsoft[1] har ett antal infektioner skett via legitima uppdateringsprocesser tillhörande MEDoc.

Petya sprider sig över nätverk på flera sätt.
Petya extraherar autentiseringsuppgifter som den använder sig av för att sprida sig i det lokala nätverket via WMIC och PSEXEC. Den kan också utnyttja sårbarheter i SMB-protokollet på samma sätt som WannaCry.

Råd

  • Håll mjukvara, antivirusprogram och operativsystem uppdaterade
  • Säkerhetskopiera
    *Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.

Vi har även tidigare skrivit generella rekommendationer kring ransomware och hur det går att minimera effekterna samt hur en organisation kan förbereda sig[2].

CERT-SE uppmanar att man inte betalar lösensumman. Även om man betalar kommer man inte få en dekrypteringsnyckel då e-postadressen (wowsmith123456@posteo[.]net) är blockerad av den tyska e-posttjänsten Posteo vilket innebär att aktören som ligger bakom inte kan leverera någon dekrypteringsnyckel.[3]

Om ni drabbats av detta hör gärna av er till oss på cert@cert.se. Ju mer information CERT-SE får om drabbade aktörer desto snabbare kan CERT-SE få en tydlig bild av konsekvenserna.

Ytterligare läsning:

Microsoft har publicerat en detaljerade analys av hur Petya fungerar. CERT-SE rekommenderar starkt att man läser denna:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Källor:

[1] https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
[2] https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
[3] https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

Vi hanterar mediafrågor via MSB:s presstjänst
E-post: kommunikation@msb.se
Telefon: 070-321 88 74



-----------

2017-06-29:

Det rapporteras friskt om ett nytt IT-angrepp som verkar utnyttja samma sårbarhet som WannaCry. Det är en variant av Petya som dök upp första gången för ett år sedan.

Spridning:
Petya verkar sprida sig på samma sätt som WannaCry, via sårbarheter i SMB1-protokollet. Har man fildelning exponerat mot Internet så är man i riskzon. Generellt så sätts inte system upp med fildelning mot Internet på detta sätt längre. Den typ av konfiguration slutade användes för ca 10 år sedan. Har man dock gamla system aktiva exponerade någonstans så är de en attackvektor. SMB används dock på insidan av olika organisationers brandväggar, detta för att från klientdatorer komma åt filytor på servrar, exempelvis hemmamappar eller gemensamma mappar. Det finns obekräftade uppgifter på att Petya sprids via mail. Sådana uppgifter cirkulerade även vid WannaCry men inget kunde bekräftas.

Åverkan:
Skulle denna skadliga kod komma in innanför skalskyddet så finns det risk för stor spridning då WannaCry/Petya verkar ha egenskaperna av en nätverksmask. Detta kräver dock att man inte avaktiverat SMB1 och inte uppdaterat sina klienter/servrar. Microsoft kom ut med en patch i mars mot denna sårbarhet. Om denna är installerad så bör infrastrukturen vara säker enligt Microsoft. SMB2 används på Windows7 och Server 2008 och uppåt medan SMB3 används på Windows 8 och Server 2012 och uppåt. De brukar dock vara bakåtkompatibla med SMB1.

Petya krypterar filsystemet istället för själva filerna själva. Detta gör att datorn ej vill starta upp överhuvudtaget till skillnad från vanliga kryptovirus som bara gör ens filer otillgängliga.
För den insatte så skriver Petya över Master Boot Record och krypterar Master File Table (detta kräver en omstart som kryptovirus verkar tvinga fram)

Det finns även obekräftade uppgifter att banktrojanen Loki Bots finns med i Petyas skadliga kod i ett försök att få ut användarnamn och lösen från de infekterade systemen

Påverkade:
Vi har än så länge ingen indikation på att någon av våra kunder ska vara påverkade av detta.
Än så länge verkar Petya slagit till med stor kraft mot Ukrainas banker, elförsörjning samt regeringsdatorer.
Andra som verkar ha blivit hårt drabbade är danska transportbolaget Maersk, ryska oljejätten Rosneft, livsmedelskoncernen Mondelez,, advokatjätten DLA Piper 

Att göra:

  • Stäng av ev filexponeringar mot internet som inte klarar en säkerhetsgranskning
  • Uppdatera dina system
  • Gör säkerhetskopieringar
  • Var vaksaksam som alltid, framför allt gällande bilagor och länkar i mail
  • Använd säkerhetslösningar såsom antivirus och gärna i flera såsom intrångs-/anomalidetektering

 

Kontakta oss

För att rätt person ska kunna kontakta dig, vänligen skriv ett relevant meddelande.