Campagna di Attacco WanaCrypt0r

Con la presente Yoroi desidera informarLa sulla campagna di attacco Ransomware denominata WanaCrypt0r che nelle ultime ore ha preso di mira numerose reti pubbliche. La presente comunicazione ha come fine chiarire lo stato dell’attacco ed eventuali suggerimenti per la mitigazione del rischi ad essa connessi. 

Le caratteristiche principali della campagna sono:

• La capacità di propagazione automatica (Worm) attraverso sia reti pubbliche che reti private (lateral movement)
• La capacità di cifrare file locali all’interno delle macchine compromesse

La campagna di attacco è propagata attraverso strumenti in grado di sfruttare vulnerabilità presenti all'interno di Sistemi Operativi Microsoft non aggiornati al fine di eseguire codice arbitrario, identificativi CVE-2017-0146, CVE-2017-0145, CVE-2017-0144, CVE-2017-0143, CVE-2017-0148, relativamente a servizi SMB. 

Attualmente la specifica campagna di attacco è stata mitigata in quanto sono state effettuate azioni di sinkhole di specifici nomi a dominio utilizzati dal ransomware WanaCrypt0r per attivarsi, impedendo il funzionamento anche in caso di avvenuta compromissione. Yoroi sottolinea che la mitigazione attualmente in atto è relativa alle analisi svolte su campioni pubblici (Samples) individuati nelle giornate di Giovedì, Venerdì e Sabato (11,12,13 Maggio, 2017)  e che ciò non rappresenta una risoluzione alla minaccia globale.

Gli strumenti di attacco utilizzati da WannaCrypt0r sono stati pubblicati nell’Aprile 2017 a seguito del rilascio, da parte del gruppo ShadowBroker, di una serie di informazioni classificate attribuibili ad Equation Group (NSA). Per eventuali dettagli sui rischi associati alle rivelazioni di ShadowBroker si suggerisce la lettura del Early Warning N060417.

A Marzo 2017 sono state rilasciate patch di sicurezza critiche da Microsoft relativamente al bollettino di sicurezza MS17-010 in grado di immunizzare i sistemi ed impedire la propagazione sia di questo pericoloso Worm che di future minacce capaci di sfruttare le stesse vulnerabilità. Per questa ragione Yoroi suggerisce caldamente di applicare con rinnovata urgenza gli aggiornamenti di sicurezza ai sistemi Microsoft Windows.

Nel caso non fosse possibile applicare aggiornamenti di sicurezza il Produttore (Microsoft) ha reso disponibile un workaround in grado di mitigare il rischio di compromissione applicabile a sistemi Windows Vista e superiori:

• Disabilitazione del supporto SMBv1 per sistemi client:
  • Aprire Control Panel, click Programs, click “Turn Windows features on or off”.
  • Aprire la finestra “Windows Features”, togliere la spunta da “SMB1.0/CIFS File Sharing Support”, click OK e chiudere.
  • Riavviare il sistema
• Disabilitazione del supporto SMBv1 per sistemi server
  • Aprire “Server Manager” , aprire il menu “Manage” , selezionare “Remove Roles and Features”.
  • Dalla finestra “Features”, togliere la spunta da “SMB1.0/CIFS File Sharing Support”, click OK e chiudere.
  • Riavviare il sistema

Per ulteriori riferimenti si rimanda ad apposito articolo pubblicato dal vendor (Microsoft). Si consiglia inoltre di verificare la copertura da parte dei sistemi di protezione e monitoraggio perimetrale relativamente alla capacità di individuare tentativi di propagazione legati allo sfruttamento delle vulnerabilità MS17-010 ed eventualmente la presenza di regole/blocchi specifiche per la minaccia descritta.

IoC coinvolti: 

Files:

• d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
• 055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622 c.wnry
• 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
• e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry
• 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
• 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
• 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
• b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry

CnC:

• 188[.]166[.]23[.]127:443
• 193[.]23[.]244[.]244:443
• 2[.]3[.]69[.]209:9001
• 146[.]0[.]32[.]144:9001
• 50[.]7[.]161[.]218:9001
• 217.79.179[.]77
• 128.31.0[.]39
• 213.61.66[.]116
• 212.47.232[.]237
• 81.30.158[.]223
• 79.172.193[.]32
• 89.45.235[.]21
• 38.229.72[.]16
• 188.138.33[.]220

Hash Coinvolti:

• ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
• c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
• 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
• 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
• 428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f
• 5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6
• 62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1
• 72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd
• 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186
• a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b
• a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3
• b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
• eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4
• 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
• 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
• 2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e
• 7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545
• a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b
• fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc
• 9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967
• b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
• 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
• 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

Onion Urls (Tor):

• gx7ekbenv2riucmf.onion
• 57g7spgrzlojinas.onion
• xxlvbrloxvriy2c5.onion
• 76jdd2ir2embyv47.onion
• cwwnhwhlz52maqm7.onion

Specific Strings:

• BAYEGANSRVadministrator Smile465666SA [email protected] (credit: nulldot https://pastebin.com/0LrH05y2)

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l'utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index