terça-feira, julho 04, 2017

Petya, PetrWrap ou NotPetya

Semana passada teve destaque no noticiário uma nova rodada de ataques de ransomware. O meu amigo Anchises fez uma cobertura bastante completa, mas vou destacar aqui os pontos que julgo importantes. Cabe lembrar que as análises encontradas na internet são muitas vezes divergentes e quase sempre incompletas (cada uma focando em um aspecto).


O que o malware faz

Uma vez ocorrida a infecção, o primeiro passo do malware é tentar infectar outras máquinas na rede local (o que a Microsoft chama de "movimento lateral"), usando diversas técnicas (roubando credenciais na memória, usando compartilhamentos ou usando vulnerabilidades do protocolo SMB).

Em seguida o malware substitui o MBR (Master Boot Record), para ser executado após um boot no lugar do sistema operacional. O reboot é forçado após cerca de uma hora, encerrando a propagação na rede local. É apresentado então uma tela imitando o CHKDSK e, posteriormente,o pedido de resgate.

Há relatos divergentes sobre quais encriptações são feitas e quando. É consenso que quando o pedido de resgate é apresentado a MFT (Master File Table, o índice geral de arquivos e diretórios no NTFS) está criptografada. Arquivos com determinadas extensões também estariam encriptados (total ou parcialmente). Segundo alguns a criptografia ocorreria somente durante o falso CHKDSK enquanto outros afirmam que ocorrem antes do reboot.

A infecção original

Como dito, o malware em si propaga-se apenas dentro de uma rede local. Existe muita especulação sobre qual o vetor para infecção da primeira máquina de uma rede. A Microsoft afirma ter evidências de que o malware foi distribuído na Ucrânia junto com a atualização de um software de contabilidade. Existem menções à propagação através de anexos maliciosos de email, mas nenhuma prova concreta.

O Petya Original

O Petya surgiu em 2016 e não fez muitos estragos. Entre outros motivos, ele possuía um erro na criptografia que permitia recuperar os dados.

PetrWrap

Segundo algumas análises, o malware atual é o Petya original envolvido por um segundo programa que efetua algumas alterações (patches) sobre ele, notadamente na parte de criptografia e no pedido de resgate.

Criptografia

Para permitir a cobrança de resgate, um ransomware deve criptografar partes importantes do disco com um algorítimo forte, usando chaves individuais para cada máquina. Estas chaves precisam ser repassadas para o criminoso para que ele possa permitir a decriptação após o pagamento.

O malware em questão usa o algoritimo AES com uma chave de 128 bits. A fraqueza do Petya original estava na criação desta chave, que podia ser recuperada pela vítima. Esta fraqueza foi corrigida nesta nova versão. A chave é posteriormente criptografada usando criptografia assimétrica. O malware contém uma chave pública de 2048 bits, a chave privada (em poder somente dos criminosos) é necessária para recuperar  a chave usada para criptografar o disco.

Ransomware ou Wiper?

Alguns aspectos do ataque levaram vários pesquisadores a questionar o objetivo dos criminosos: ganhar dinheiro (ransomware) ou destruir computadores (wiper)?

O mecanismo para ganhar dinheiro é bastante fraco, utilizando um email para receber as comunicações das vítimas. O email foi bloqueado rapidamente, cortando toda a esperança das vítimas de recuperar os seus dados através do pagamento do resgate. Poucos pagamentos foram registrados na carteira de bitcoins usada pelos criminosos.

As análises mostram que o MBR original não é salvo. Isto não me parece crítico, pois ele contém o bootloader padrão do Windows (que é fixo) e a tabela de partição (que em muitos casos é trivial e provavelmente pode ser recuperada na maioria dos casos).

Algumas análises indicam que a chave que é criptografada e apresentada à vítima não é a chave usada na encriptação do disco. Se isto for verdade, os desenvolvedores do malware nunca tiveram a intenção de permitir a recuperação dos dados.

Uma vez que o malware possui somente propagação dentro de uma rede local e não há notícias de grandes campanhas de disseminação via internet fora da Ucrânia, parece que as vítimas no resto do mundo foram vítimas de acaso e infelicidade.

Nenhum comentário: