O que o malware faz
Uma vez ocorrida a infecção, o primeiro passo do malware é tentar infectar outras máquinas na rede local (o que a Microsoft chama de "movimento lateral"), usando diversas técnicas (roubando credenciais na memória, usando compartilhamentos ou usando vulnerabilidades do protocolo SMB).
Em seguida o malware substitui o MBR (Master Boot Record), para ser executado após um boot no lugar do sistema operacional. O reboot é forçado após cerca de uma hora, encerrando a propagação na rede local. É apresentado então uma tela imitando o CHKDSK e, posteriormente,o pedido de resgate.
Há relatos divergentes sobre quais encriptações são feitas e quando. É consenso que quando o pedido de resgate é apresentado a MFT (Master File Table, o índice geral de arquivos e diretórios no NTFS) está criptografada. Arquivos com determinadas extensões também estariam encriptados (total ou parcialmente). Segundo alguns a criptografia ocorreria somente durante o falso CHKDSK enquanto outros afirmam que ocorrem antes do reboot.
A infecção original
Como dito, o malware em si propaga-se apenas dentro de uma rede local. Existe muita especulação sobre qual o vetor para infecção da primeira máquina de uma rede. A Microsoft afirma ter evidências de que o malware foi distribuído na Ucrânia junto com a atualização de um software de contabilidade. Existem menções à propagação através de anexos maliciosos de email, mas nenhuma prova concreta.
O Petya Original
O Petya surgiu em 2016 e não fez muitos estragos. Entre outros motivos, ele possuía um erro na criptografia que permitia recuperar os dados.
PetrWrap
Segundo algumas análises, o malware atual é o Petya original envolvido por um segundo programa que efetua algumas alterações (patches) sobre ele, notadamente na parte de criptografia e no pedido de resgate.
Criptografia
Para permitir a cobrança de resgate, um ransomware deve criptografar partes importantes do disco com um algorítimo forte, usando chaves individuais para cada máquina. Estas chaves precisam ser repassadas para o criminoso para que ele possa permitir a decriptação após o pagamento.
O malware em questão usa o algoritimo AES com uma chave de 128 bits. A fraqueza do Petya original estava na criação desta chave, que podia ser recuperada pela vítima. Esta fraqueza foi corrigida nesta nova versão. A chave é posteriormente criptografada usando criptografia assimétrica. O malware contém uma chave pública de 2048 bits, a chave privada (em poder somente dos criminosos) é necessária para recuperar a chave usada para criptografar o disco.
Ransomware ou Wiper?
Alguns aspectos do ataque levaram vários pesquisadores a questionar o objetivo dos criminosos: ganhar dinheiro (ransomware) ou destruir computadores (wiper)?
O mecanismo para ganhar dinheiro é bastante fraco, utilizando um email para receber as comunicações das vítimas. O email foi bloqueado rapidamente, cortando toda a esperança das vítimas de recuperar os seus dados através do pagamento do resgate. Poucos pagamentos foram registrados na carteira de bitcoins usada pelos criminosos.
As análises mostram que o MBR original não é salvo. Isto não me parece crítico, pois ele contém o bootloader padrão do Windows (que é fixo) e a tabela de partição (que em muitos casos é trivial e provavelmente pode ser recuperada na maioria dos casos).
Algumas análises indicam que a chave que é criptografada e apresentada à vítima não é a chave usada na encriptação do disco. Se isto for verdade, os desenvolvedores do malware nunca tiveram a intenção de permitir a recuperação dos dados.
Uma vez que o malware possui somente propagação dentro de uma rede local e não há notícias de grandes campanhas de disseminação via internet fora da Ucrânia, parece que as vítimas no resto do mundo foram vítimas de acaso e infelicidade.
Nenhum comentário:
Postar um comentário