El Ransomware Petya se propaga a través de Exploit EternalBlue

El día de ayer 27 de junio de 2017, varias organizaciones en Europa reportaron interrupciones significativas que están atribuyendo a ransomware Petya. Basado en información inicial, esta variante del ransomware de Petya puede extenderse a través de la hazaña de EternalBlue usada en el ataque de WannaCry desde el mes pasado.

Las fuentes de confianza y los informes de código abierto han sugerido que el vector de infección inicial para esta campaña fue una actualización envenenada para la suite de software MeDoc, un paquete de software utilizado por muchas organizaciones ucranianas. La sincronización de una actualización de software de MeDoc, que ocurrió el 27 de junio, es consistente con el reporte inicial del ataque de ransomware y la sincronización correlaciona al movimiento lateral a través de PSExec que observamos en las redes de víctimas comenzando alrededor de las 10:12 UTC.

Además, el sitio web de MeDoc actualmente muestra un mensaje de advertencia en ruso que indica: “En nuestros servidores se está produciendo un ataque de virus. ¡Le pedimos disculpas por los inconvenientes temporales!” Nuestro análisis inicial de los artefactos y el tráfico de red en las redes de víctimas indican que una versión modificada del exploit EternalBlue SMB se utilizó, al menos en parte, para propagarse lateralmente junto con los comandos WMI, MimiKatz y PSExec para propagar otros sistemas.

El análisis de los artefactos asociados con esta campaña aún está en curso y actualizaremos este blog a medida que se disponga de nueva información.

 

Compartimos las siguientes dos muestras relacionadas con este ataque:

  • 71b6a493388e7d0b40c83ce903bc6b04
  • e285b6ce047015943e685e6638bd837e

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *