Petya — nopea analyysimme uudesta ransomwaresta

Petya oletettavasti lähti leviämään murretun ukrainalaisen ohjelmistoyhtiön kautta. Kesäkuun 22. päivä julkaistiin päivitys, johon ulkopuoliset hyökkääjät olivat ujuttaneet haittaohjelman. Ukraina olikin yksi pahiten saastuneista maista leviämisen alkuvaiheessa.

Alun jälkeen Petya käytti organisaatioiden väliseen leviämiseen WannaCrysta tunnetuksi tullutta SMBv1:n EternalBlue-haavoittuvuutta. Organisaation sisällä lateraaliseen liikkumiseen Petya hyödyntää organisaatioiden huonoa ylläpitotunnushygieniaa. Petya kalastelee työaseman muistista ylläpitotunnusten salasanoja ja pyrkii leviämään Windowsin ylläpitokanavien, wmic:n ja psexec:n, kautta muihin laitteisiin, aivan kuten ihmishyökkääjätkin. Windows 10:n Credential Guard oletettavasti havaitsee salasanojen luvun muistista.

Haittaohjelmien levittäminen ohjelmistopäivitysten kautta

Alihankkijoita käytetään laajasti astinlautana, joiden kautta levittäydytään itse kohteorganisaatioon. Petya kuitenkin vei tämän hieman pidemmälle levittämällä haittaohjelman alihankkijan ohjelmistopäivityksen mukana. Petya lienee suurin tällaista julkistusmenetelmää käyttänyt haittaohjelma, mutta uskoisin, että vastaavia nähdään vielä paljon lisää.

Whitelistauksen kierto ja blacklistien päivitykset

Petyassa tiedostoja oli allekirjoitettu väärennetyllä, mutta aidoksi tulkittavalla sähköisellä varmenteella, joka tosin oli vanhentunut. Väärennetyllä varmenteella pyrittiin pääsemään sallittujen ohjelmistojen listalle, niissä yrityksissä joissa whitelistaus oli käytössä. Vaikka whilelistaus onkin kovin ylistetty menetelmä haittaohjelmilta suojautumiseksi, ei sekään ole täydellinen, jonka vuoksi vanha kunnon tunnisteisiin perustuva virustorjuntaohjelmisto on edelleen hyvä lisä. Kun Petyan uhka levisi mediassa 27.6., vain harva virustorjuntaohjelmisto havaitsi sen. Aamuun mennessä suurin osa virustorjuntaohjelmistoista oli päivitetty. Oman virustorjuntaohjelmiston havaitsemiskyvyn nykytilan voi tarkastaa VirusTotalista.

Malwaren päivittyminen

Lunnaiden keräykseen käytetty sähköpostilaatikko suljettiin ylläpitäjän toimesta, mutta tuoreampien videoiden perusteella Petyan salausavainten luovutus on siirretty Tor-verkkoon onion-sivuille, joihin ei 28.6. lounasaikaan saanut yhteyttä ilmeisesti suuren kävijämäärän vuoksi. Kehittäjän ovat olleet vikkeliä haittaohjelmansa päivityksessä tai sitten Petyasta on alun perinkin ollut useampaa versiota liikkeellä.

Vinkkejä haittaohjelmilta suojautumisesta voi lukea edellisestä blogista, johon vielä lisäyksenä tunnettu virustorjuntaohjelmisto.


Jyrki Luukko
@JyrkiLuukko
Cyber Intelligence Architect
Combitech Oy