Se alerta sobre una evolución del ransomware Petya

El Centro de Seguridad y Vigilancia Digital de A3SEC ha sido alertado de un ataque masivo del Ransonware NYETYA, denominado así por Cisco Talos – Comprehensive Threat Intelligence. Este malware es una variante más de WannaCry y Petya.

NYETYA es un virus que se identificó el 28 de junio de 2017, haciendo su primera aparición en organizaciones gubernamentales de Ucrania, su ejecución es llevada a cabo a través de una actualización de un software de gestión de impuestos llamado MeDoc.

Se ha identificado que este malware se ha expandido a diferentes países, como: España, Francia, Dinamarca, Reino Unido, Rusia y Estados Unidos. Igualmente, como las anteriores versiones de esta famila de Ransomware, su comportamiento es similar al momento de sobrescribir master boot record (MBR) y cifrarlo.

Lo curioso de esta variante de PETYA, es que NYETYA no tiene un fin financiero, puesto que el sitio donde se solicita hacer el pago para la clave de cifrado esta caída, además su comportamiento sobre el footprinting del sistema infectado es mucho más profunda.

El ransomware una vez haya sido exitoso o no, al momento de hacer la escala de privilegios a través del Adjust Token Privilege, pasa a sobreescribir el master boot record; después el malware inicia un mapeo de red a través del puerto 139-TCP NetBIOS, así de esta manera encontrar posibles máquinas vulnerables a CVE-2017-0199, especialmente a EternalBlue y EternalRomance.

Una vez el malware este dentro de la maquina este creará un archivo en los temporales, basado en una herramienta llamada Mimikatz la cual recolectará credenciales de usuarios desde la memoria.