Patching não é suficiente para deter o Petya

Muito já foi divulgado sobre o “Petya” , o ransomware que atingiu duramente a Ucrânia, além de organizações como a gigante farmacêutica norte-americana Merck, a companhia de transporte dinamarquesa AP Moller-Maersk, a empresa britânica de publicidade WPP, a francesa Saint-Gobain e as companhias russas de aço, mineração e petróleo Evraz e Rosneft .

Não surpreende a constatação de que grande parte do que é escrito sobre o Petya faça referência ao surto do WannaCry, que causou estragos semanas atrás. Isso se deve ao caráter recente do WannaCry, além do fato de que ambos os malwares são do tipo ransomware e tiram proveito da vulnerabilidade EternalBlue, apesar da correção MS17-010.

“A principal semelhança em relação ao WannaCry é, de fato, a exploração do exploit ‘EternalBlue’, que fazia parte das ferramentas que vazaram da NSA, além de criptografar os arquivos dos usuários e solicitar um pagamento via extorsão”, explica Paulo Braga, engenheiro da Arbor Networks.

Em meio ao dilúvio de (des)informação, é importante garantir que a associação do Petya com o WannaCry não esconda algumas diferenças importantes. Em particular, o fato de o mecanismo de propagação baseado na vulnerabilidade EternalBlue, mitigada pelo patch MS17-010, não ser o único método empregado pelo Petya para se espalhar. Há outro método de propagação, que não é frustrado por simples patches.

De acordo com a Kaspersky , uma vez que o Petya comprometa uma máquina, ela começará a sequestrar as credenciais locais contidas em lsass.exe (a Autoridade de Segurança Local do Windows) para, em seguida, alavancar essas credenciais via PsExec ou WMI na tentativa de comprometer remotamente outros sistemas da rede local. Em muitas empresas, essa atividade não será bloqueada e é provável que voe sob o radar como atividade típica de administração remota. Afinal, o PsExec é uma legítima ferramenta de linha de comando do Windows SysInternals e WMI significa Instrumentação de Gerenciamento do Windows. Se uma credencial administrativa amplamente utilizada estiver comprometida, isso pode ser fatal para muitos sistemas, independentemente de a correção MS17-010 ter sido aplicada ou não.

Outra diferença importante entre Petya e WannaCry é que não há “KillSwitch” para o primeiro. Na verdade, ao contrário de muitos relatórios, a ASERT não encontrou nenhuma evidência de que o Petya tenha alguma forma de comando e controle. “Além disso, o Wanna Cry se propagou mais rapidamente”, afirma Paulo Braga.

Por fim, evite qualquer falsa sensação de segurança baseada no patch MS17-010 e atenda às (antigas) recomendações para a implementação de uma apropriada segmentação de rede, restringindo o dano causado pelo Petya e outros malwares. Finalmente, note que as seguintes regras ET Pro aparentemente disparam com a propagação do Petya e, portanto, podem ser usadas para detecção – por meio de produtos para segurança de rede, como o Spectrum, da Arbor Networks:

  • 2001569 – Behavioral Unusual Port 445 traffic Potential Scan or Infection
  • 2012063 – ET NETBIOS Microsoft SRV2.SYS SMB Negotiate ProcessID Function Table Dereference
  • 2024297 – ET CURRENT_EVENTS ETERNALBLUE Exploit M2 MS17-010
  • Posted in ASERT Blog, Notícias
  • Comentários desativados em Patching não é suficiente para deter o Petya