O último surto respeitante ao Petya reuniu muita atenção por parte dos meios de comunicação. No entanto, importa salientar que este não foi um incidente isolado: este é o último de uma série de ataques semelhantes na Ucrânia. Este artigo pretende revelar alguns detalhes acerca do surto Diskcoder.C (também conhecido como ExPetr, PetrWrap, Petya ou NotPetya) e informações relacionadas e não publicadas acerca dos ataques anteriores.

Telebots

No ano passado publicámos dois artigos detalhados acerca dos ataques disruptivos que foram realizados pelo grupo que os investigadores da ESET apelidam de TeleBots e que efetuaram especificamente ataques contra instituições financeiras e desenvolveram também uma versão Linux do malware KillDisk. Na prática, o grupo realizou diversos ataques informáticos contra vários sistemas informáticos na Ucrânia; Sistemas estes que podem ser considerados como infra-estruturas críticas. Em paralelo, este grupo tem ligações à organização BlackEnergy que foi responsável pelas interrupções de energia de dezembro de 2015 na Ucrânia.

Na fase final dos ataques, o grupo TeleBots utilizou sempre o malware KillDisk para substituir ficheiros com extensões de arquivo específicas nos discos das vítimas. Ao colocarem, como se costuma dizer, a carroça à frente dos bois: obterem o dinheiro do resgate nunca foi a principal prioridade para este grupo. O malware KillDisk utilizado na primeira vaga de ataques de dezembro de 2016, em vez de encriptar, simplesmente substituía ficheiros segmentados. Em paralelo, não fornecia informações de contacto que permitissem uma comunicação com o atacante. Apenas mostrava uma imagem do programa de TV: Mr. Robot.

Na segunda vaga de ataques, os criminosos responsáveis pelo malware KillDisk adicionaram e comunicaram informações ao malware, para parecer um ataque típico de ransomware. No entanto, os atacantes pediram uma quantidade extraordinária de Bitcoins: 222 BTC (cerca de US $ 250.000 naquela altura). Isto pode indicar que eles não estavam interessados em Bitcoins, mas sim em causar danos às empresas atacadas.

Em 2017, o grupo TeleBots não interrompeu os seus ataques informáticos; Na realidade, ficaram mais sofisticados. No período de janeiro a março de 2017 comprometeram uma empresa de software na Ucrânia (não relacionada à M.E. Doc) e, usando túneis VPN a partir dela, obtiveram acesso às redes internas de diversas instituições financeiras.

Durante este ataque, os responsáveis do grupo TeleBots melhoraram o seu arsenal com duas novas peças de ransomware e ferramentas atualizadas.

A primeira backdoor de que o grupo TeleBots dependia fortemente foi a Python / TeleBot.A, que foi reescrito a partir de Python, na linguagem de programação Rust. A funcionalidade permanece a mesma: é uma backdoor padrão que utiliza a API do Telegram Bot para receber comandos e enviar respostas para o operador de malware.

A segunda backdoor, que foi escrita em VBS e empacotado usando o programa script2exe, foi bastante ofuscada, mas a funcionalidade permaneceu a mesma em relação aos ataques anteriores.

Desta vez, a backdoor VBS utilizou o servidor C & C com o ip 130.185.250 [.] 171. Para tornar as ligações menos suspeitas para aqueles que verificam os logs da firewall, os atacantes registaram o domínio transfinance.com [.] Ua e hospedaram-no nesse endereço de IP.

Além disso, os invasores usaram as seguintes ferramentas:

CredRaptor (que roubava as palavras-passe)
Plainpwd (Mimikatz modificado para recuperar as credenciais do Windows da memória)
PsExec SysInternals (usado para movimento lateral)

Como mencionado acima, na fase final dos seus ataques, os criminosos dos TeleBots empurraram o Ransomware utilizando credenciais do Windows roubadas e o PsExec da SysInternals. Este novo ransomware foi detectado pelos produtos ESET como Win32 / Filecoder.NKH. Uma vez executado este ransomware encriptava todos os ficheiros (excepto os que estavam localizados na pasta C: \ Windows) e que utilizavam algoritmos AES-128 e RSA-1024. O malware adicionava a extensão .xcrypted aos ficheiros já encriptados.

Quando a encriptação ficava concluída, este malware criava um ficheiro de texto! Readme.txt com o seguinte conteúdo:

Please contact us: openy0urm1nd@protonmail.ch

Além do malware do Windows, o grupo TeleBots utilizava o ransomware Linux em servidores não-Windows. Este ransomware era detectado pelos produtos ESET como Python / Filecoder.R e, previsivelmente, está escrito na linguagem de programação Python. Desta vez, os invasores executaram utilitários de terceiros, como o openssl, para encriptar ficheiros. A encriptação era feita utilizando os algoritmos RSA-2048 e AES-256.

No código do script feito em Python, os atacantes deixavam um comentário que tinha o seguinte texto:

feedback: openy0urm1nd[@]protonmail.ch

Win32/Filecoder.AESNI.C

A 18 de maio de 2017, detetámos uma nova atividade por parte de outra família de ransomware Win32 / Filecoder.AESNI.C (também conhecido como XData).

Este ransomware atacou especialmente na Ucrânia, devido a um interessante vetor inicial. Segundo o nosso sistema de telemetria ESET LiveGrid®, o malware foi criado logo após a execução do software M.E.Doc que é amplamente utilizado pelas equipas de contabilidade na Ucrânia.

O ransomware Win32 / Filecoder.AESNI.C possuía uma DLL Mimikatz incorporada que costumava extrair as credenciais da conta do Windows da memória de um PC comprometido. Com estas credenciais, o malware espalhava-se rapidamente dentro das redes através do o utilitário PsExec da SysInternals.

Aparentemente, os atacantes não alcançaram o objetivo naquela ocasião, ou então tratou-se de um teste antes de um ataque mais eficaz.

Este ataque não obteve muita atenção por parte dos meios de comunicação.

Diskcoder.C (aka Petya-like) outbreak

O que obteve muita atenção por parte dos meios de comunicação foi o surto Petya de 27 de junho de 2017, porque comprometeu com êxito muitos sistemas em infra-estruturas críticas e outras empresas na Ucrânia e até noutros pontos do mundo.

O Petya não se limitava a encriptar os ficheiros do utilizador: atacava e ataca o chamado “Master Boot Record” – uma parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado. Se o malware conseguir infetar com sucesso a MBR, encripta todo o disco; caso contrário, encripta todos os ficheiros.

No próximo artigo vamos abordar os fatores de infeção inicial.

 

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*