Itu Petya Ransomware / Wiper telah menciptakan kekacauan di Eropa, dan sekilas infeksi pertama kali terlihat di Ukraina ketika lebih dari 12.500 mesin dikompromikan. Bagian terburuknya adalah infeksi juga menyebar ke Belgia, Brasil, India dan juga Amerika Serikat. Petya memiliki kemampuan cacing yang memungkinkannya menyebar secara lateral di seluruh jaringan. Microsoft telah mengeluarkan panduan tentang bagaimana itu akan menangani Petya,
Petya Ransomware / Wiper
Setelah penyebaran infeksi awal, Microsoft kini memiliki bukti bahwa beberapa infeksi aktif ransomware pertama kali diamati dari proses pembaruan MEDoc yang sah. Ini membuatnya menjadi kasus yang jelas dari serangan rantai pasokan perangkat lunak yang telah menjadi sangat umum dengan penyerang karena membutuhkan pertahanan tingkat yang sangat tinggi.
Gambar di bawah ini menunjukkan bagaimana proses Evit.exe dari MEDoc mengeksekusi baris perintah berikut, Vektor serupa yang menarik juga disebutkan oleh Polisi Maya Ukraina dalam daftar umum indikator kompromi. Itu dikatakan Petya mampu
- Mencuri kredensial dan memanfaatkan sesi aktif
- Mentransfer file berbahaya di seluruh mesin dengan menggunakan layanan file-sharing
- Menyalahgunakan kerentanan SMB dalam kasus mesin yang tidak di-patch.
Mekanisme pergerakan lateral menggunakan pencucian kredensial dan peniruan identitas terjadi
Semuanya dimulai dengan Petya menjatuhkan alat dumping kredensial, dan ini datang dalam varian 32-bit dan 64-bit. Karena pengguna biasanya masuk dengan beberapa akun lokal, selalu ada kemungkinan bahwa salah satu sesi aktif akan terbuka di beberapa mesin. Kredensial yang dicuri akan membantu Petya untuk mendapatkan tingkat akses dasar.
Setelah selesai, Petya memindai jaringan lokal untuk koneksi yang valid pada port tcp / 139 dan tcp / 445. Kemudian pada langkah selanjutnya, ia memanggil subnet dan untuk setiap pengguna subnet tcp / 139 dan tcp / 445. Setelah mendapatkan respons, malware akan menyalin biner pada mesin jarak jauh dengan memanfaatkan fitur transfer file dan kredensial yang sebelumnya berhasil dicuri.
The psexex.exe dijatuhkan oleh Ransomware dari sumber daya yang tertanam. Pada langkah berikutnya, ia memindai jaringan lokal untuk admin $ shares dan kemudian mereplikasi dirinya sendiri di seluruh jaringan. Terlepas dari kredensial dumping malware juga mencoba mencuri kredensial Anda dengan memanfaatkan fungsi CredEnumerateW untuk mendapatkan semua kredensial pengguna lainnya dari toko kredensial.
Enkripsi
Malware memutuskan untuk mengenkripsi sistem tergantung pada tingkat hak istimewa proses malware, dan ini dilakukan dengan menggunakan algoritma hashing berbasis XOR yang memeriksa nilai hash dan menggunakannya sebagai pengecualian perilaku.
Di langkah berikutnya, Ransomware menulis ke master boot record dan kemudian mengatur sistem untuk reboot. Selain itu, ia juga menggunakan fungsi tugas yang dijadwalkan untuk mematikan mesin setelah 10 menit. Sekarang Petya menampilkan pesan kesalahan palsu diikuti dengan pesan Ransom yang sebenarnya seperti yang ditunjukkan di bawah ini.
