Tech Alert
Petya Ransomware Update
Data: 2017-06-27
Products: Data Security;Email Security;Cloud Email Security;Cloud Web Security;Web Security and Filter;Web Security Gateway;Web Security Gateway Anywhere;Email Security Gateway;Email Security Gateway Anywhere;TRITON AP-WEB;Web Security Cloud;TRITON AP-EMAIL;Email Security Cloud;TRITON AP-DATA;TRITON AP-ENDPOINT Web;TRITON AP-ENDPOINT DLP;Insider Threat;i-Series Appliance;Mobile Security;RiskVision;Sidewinder Appliances;Sidewinder;SSL VPN;Threat Protection;Threat Protection Appliances;Threat Protection for Linux;V10000 Appliance;V5000 Appliance;X-Series Appliance;Forcepoint APX Virtual Appliance;TRITON AP-DATA Cloud
Descrição:
O Forcepoint Security Labs está ciente de uma nova variante do Ranksomware Petya que afetou organizações em todo o mundo. Os relatórios estão a decorrer de organizações do Reino Unido, Ucrânia, Países Baixos, Espanha, Estados Unidos e outros mercados.
Embora muitos possam relutar em pensar seis semanas atrás para o trauma do surto de WannaCry de May (WannaCry post outbreak analysis), existem vários paralelos entre os dois incidentes que vão desde o alcance global do surto até as técnicas pelas quais o O malware está espalhado.
Forcepoint Security Labs identificou o Petya ransomware como sendo capaz de se espalhar lateralmente dentro de uma organização através de uma vulnerabilidade no protocolo SMBv1.
Após a execução, ele tenta se espalhar via SMBv1 exploit, reiniciando a máquina, apresenta uma tela falsa CHKDSK (check disk) e mostra a mensagem de demanda de resgate.
A demanda de resgate é de US $ 300 (como foi para WannaCry).
Há um atraso de 90 minutos entre a execução do malware e o início do processo de criptografia.
Parece haver apenas uma carteira BitCoin que está sendo usada para coletar os pagamentos.
Atualmente, o endereço de e-mail de suporte associado à demanda de resgate foi desativado. Parece, portanto, inútil em pagar …
Importante notar: Forcepoint Security Labs confirmou através de testes internos que o NGFW do Forcepoint é capaz de detectar e bloquear o uso da exploração SMB alavancada por este ataque, no entanto, o vetor inicial utilizado para propagação ainda está sendo investigado.
