Campanha iniciada em 27 de junho usou ransomware no MBR, propagação lateral por SMB, credenciais coletadas da memória e execução remota com ferramenta legítima incorporada ao binário.
| Componente | Aparente variante do ransomware Petya com comportamento de ransomware no MBR e propagação lateral em redes Windows. |
| Vetor | A distribuição foi associada por pesquisadores à possível violação do provedor ucraniano M.E.Doc e ao abuso de seu mecanismo de atualização, embora a empresa tenha negado que as atualizações estivessem comprometidas. |
| Impacto | Criptografia de sistemas infectados, tentativa de alcançar toda a rede interna, abuso de SMB, sessões ativas, credenciais coletadas e compartilhamentos de arquivos para entregar o payload a outros hosts. |
| Prioridade | Isolar hosts afetados, revisar tráfego SMB interno, bloquear execução remota indevida, investigar credenciais expostas em memória e validar pacotes de atualização de softwares usados no ambiente. |
| Artefatos | Exploração relacionada a CVE-2017-0147, uso de EternalBlue, DLL de roubo de credenciais gravada em %TEMP%, execução com rundll, transferência por TRANS2 SESSION_SETUP e uso de PsExec incorporado. |
| IoCs | A amostra descrita continha uma carteira de Bitcoin codificada no binário; no horário citado no material técnico, ela acumulava 3,874 BTC, abaixo de US$ 10.000. |
Um ataque mundial iniciado em 27 de junho atingiu com maior intensidade organizações na Ucrânia, incluindo o banco central ucraniano, órgãos governamentais e empresas privadas. A atividade foi descrita como uma aparente variante do Petya, com características de ransomware voltado ao MBR. Esse ponto é relevante porque o impacto primário não se limita à criptografia de arquivos de usuário: o fluxo observado compromete a capacidade de inicialização e operação normal do sistema, criando indisponibilidade imediata em estáções e servidores afetados.
A hipótese de distribuição mais discutida no contexto técnico envolve o provedor ucraniano M.E.Doc, responsável por software de contabilidade amplamente usado no país mais afetado. Pesquisadores sugeriram que o ambiente da empresa poderia ter sido comprometido e usado para disseminar o malware por meio do mecanismo de atualização do produto. Essa atribuição, porém, não estava confirmada no material analisado. A própria M.E.Doc negou que suas atualizações tivessem sido comprometidas, embora tenha afirmado que sua rede foi infectada e criptografada como parte do ataque. O mesmo fornecedor já havia sido mencionado em maio em suspeitas relacionadas à distribuição do ransomware XData, mas esse histórico não confirma o vetor neste incidente.
Depois de entrar em uma rede, o malware executa movimentação lateral para ampliar o alcance da infecção. O comportamento observado combina exploração de vulnerabilidade SMB, abuso de sessões ativas, uso de credenciais coletadas e entrega por compartilhamentos de arquivos. A cadeia é consistente com uma ameaça desenhada para se espalhar internamente sem depender de interação humana em cada máquina. Para equipes de defesa, isso muda a prioridade: a contenção precisa mirar o tráfego lateral, as credenciais reutilizáveis e os mecanismos de execução remota, não apenas a remoção do binário no primeiro endpoint afetado.
O fluxo de propagação descrito começa após a infiltração inicial em uma rede Windows. A partir desse ponto, o malware procura formas de transferir o componente Petya para outros sistemas. Uma das técnicas observadas envolve o uso do EternalBlue, exploração previamente associada ao surto do WannaCry e vinculada no contexto a CVE-2017-0147. O objetivo operacional dessa etapa é aproveitar falhas no SMB para alcançar hosts vulneráveis dentro da rede, reduzindo a necessidade de credenciais válidas quando o serviço exposto está suscetível à exploração.
A campanha também inclui um executável embutido como recurso dentro do binário principal. Esse componente atua como coletor de credenciais e é descrito como uma DLL gravada no diretório %TEMP%, executada por meio de rundll. A ferramenta se assemelha a uma utilidade aberta conhecida por obter hashes, senhas e outros artefatos de segurança da memória da máquina. O dado importante para a defesa é a combinação entre acesso local à memória, coleta de material de autenticação e uso posterior desses artefatos para se mover para outros hosts.
As credenciais coletadas são usadas para tentar entregar a DLL do Petya ao alvo seguinte. A transferência foi observada por pacotes TRANS2 SESSION_SETUP do protocolo SMB, enviados em blocos de 4096 KB, um bloco por requisição. O conteúdo trafega codificado com a chave XOR 24db007a. Quando o arquivo chega à máquina vítima, a execução remota é acionada com PsExec, ferramenta legítima da Sysinternals incorporada ao binário original do malware. Esse detalhe dificulta a análise baseada apenas em nome de processo, porque a cadeia mistura abuso de ferramenta administrativa legítima com payload malicioso.
A amostra analisada continha uma carteira de Bitcoin codificada diretamente no binário. Com isso, todas as vítimas daquela amostra eram direcionadas ao mesmo destino de pagamento. No horário informado no material técnico, em 28 de junho às 14:00 CET, a carteira acumulava 3,874 BTC, valor descrito como inferior a US$ 10.000. Esse dado indica que o mecanismo de cobrança existia, mas não permite concluir por si só o objetivo estratégico da operação, a taxa de pagamento ou o volume total de ambientes impactados.
A superfície de risco principal está em redes Windows nas quais hosts possam se comunicar internamente por SMB, executar ferramentas remotas e acessar compartilhamentos com permissões suficientes para gravação ou execução. O incidente também expõe ambientes que mantêm sessões administrativas ativas em máquinas de usuário ou servidor, porque o malware tenta reaproveitar o material de autenticação presente na memória. Quando contas privilegiadas são usadas de forma ampla em endpoints, um único host infectado pode se tornar ponto de partida para comprometimento de outros sistemas.
Organizações dependentes do software M.E.Doc aparecem como grupo de maior atenção no relato técnico, especialmente na Ucrânia. A suspeita de abuso do mecanismo de atualização não estava comprovada no material, e a negativa da empresa precisa ser preservada como limite de atribuição. Ainda assim, qualquer ambiente que tenha recebido atualizações de software de terceiros no período do ataque deveria tratar essa trilha como hipótese investigativa: validar origem dos pacotes, horários de instalação, hashes disponíveis internamente e correlação com o primeiro host afetado.
O impacto técnico confirmado no contexto envolve infecção por ransomware, criptografia de sistemas, movimentação lateral e tentativa de distribuição do payload a outros hosts. Não há base suficiente, no material recebido, para afirmar vazamento de dados, exfiltração, publicação de informações ou roubo de bases corporativas. O componente de coleta de credenciais aumenta o risco de abuso de contas, mas a consequência documentada é a propagação interna e a execução remota do ransomware.
- Redes Windows com SMB acessível entre estáções, servidores e segmentos administrativos.
- Hosts com sessões ativas ou credenciais reutilizáveis disponíveis em memória.
- Ambientes que usam M.E.Doc e receberam atualizações próximas ao início do surto.
- Compartilhamentos de arquivos usados para entrega interna de binários ou DLLs.
- Sistemas sem mitigação para a exploração SMB vinculada a
CVE-2017-0147.
A investigação deve começar pela linha do tempo do primeiro host afetado e pela expansão lateral logo depois da infecção inicial. Em ambientes Windows, a telemetria de SMB é central: conexões incomuns entre estáções, uso de TRANS2 SESSION_SETUP, grandes volumes segmentados em blocos compatíveis com transferência de payload e tentativas de autenticação entre máquinas que normalmente não se comunicam podem indicar propagação. Como o tráfego citado usa codificação XOR simples, a presença dessa codificação não deve ser tratada como criptografia forte, mas como tentativa de ofuscar o conteúdo em trânsito.
No endpoint, a criação de DLL em %TEMP%, seguida de execução com rundll, é um ponto de alta relevância. A defesa deve correlacionar criação de arquivo temporário, carregamento de DLL, leitura de memória de processos sensíveis e autenticações subsequentes para outros hosts. Como o componente descrito se assemelha a ferramentas de coleta de credenciais, alertas baseados em acesso à memória, manipulação de credenciais, LSASS e execução de utilitários com comportamento anômalo são mais úteis do que uma dependência exclusiva de nome de arquivo.
O uso de PsExec incorporado ao binário exige cuidado na análise. A ferramenta pode existir legitimamente em muitos ambientes, mas sua execução fora de janelas administrativas previstas, partindo de endpoints recém-infectados ou associada à criação remota de serviços deve ser investigada. A cadeia observada também justifica revisão de logs de autenticação para identificar contas que passaram a se autenticar em vários hosts em curto intervalo, especialmente quando o padrão surge após execução de DLL em diretório temporário.
- Conexões SMB laterais entre hosts que não possuem relação operacional habitual.
- Pacotes
TRANS2 SESSION_SETUPtransportando blocos grandes e repetidos de dados. - DLL criada em
%TEMP%e carregada porrundllem período próximo à infecção. - Execução remota com
PsExecfora de rotina administrativa aprovada. - Autenticações sucessivas com as mesmas credenciais em múltiplos hosts internos.
- Tentativas de exploração SMB compatíveis com a atividade de
EternalBlue.
A resposta deve priorizar contenção de propagação. Hosts com sinais de criptografia, execução do payload ou movimentação lateral precisam ser isolados da rede para impedir novas transferências via SMB. Segmentos internos devem bloquear comunicação SMB desnecessária entre estáções e limitar o protocolo aos fluxos estritamente exigidos por servidores e serviços conhecidos. Em paralelo, contas usadas em hosts afetados devem ser tratadas como potencialmente expostas, com rotação controlada de senhas e revisão de sessões ativas.
A mitigação técnica inclui correção de sistemas vulneráveis à exploração SMB associada a CVE-2017-0147, remoção de caminhos administrativos desnecessários e revisão do uso de ferramentas de execução remota. O objetivo não é apenas bloquear uma amostra específica, mas reduzir as condições que permitem ao malware transformar uma infecção local em incidente de rede. Controles de aplicação, restrição de execução em diretórios temporários e monitoramento de carregamento de DLL ajudam a conter componentes auxiliares como o coletor de credenciais descrito.
No eixo de supply chain, organizações que utilizavam M.E.Doc no período do ataque devem revisar artefatos de atualização recebidos, máquinas que iniciaram processos de atualização e comunicação posterior com outros hosts. Como a participação do mecanismo de atualização não estava confirmada, a análise deve separar evidência de hipótese: um pacote instalado antes do primeiro alerta, por exemplo, é um dado de linha do tempo; a conclusão de comprometimento do fornecedor exige correlação adicional. A defesa também deve buscar sinais de XData apenas como contexto investigativo quando existirem eventos compatíveis, sem misturar incidentes distintos em uma única atribuição.
A recuperação deve ser feita a partir de backups confiáveis e imagens limpas, depois da contenção do tráfego lateral e da rotação de credenciais. Restaurar máquinas antes de interromper o movimento lateral pode recolocar o ambiente no mesmo ciclo de infecção. A validação final deve incluir varredura de persistência, análise de logs de autenticação, revisão de compartilhamentos acessados durante o surto e confirmação de que ferramentas administrativas legítimas não ficaram disponíveis para abuso recorrente.
- Isolar hosts com sinais de criptografia, execução do payload ou transferência lateral por SMB.
- Aplicar correções para a falha SMB vinculada a
CVE-2017-0147nos sistemas expostos. - Restringir SMB entre estáções e permitir apenas fluxos internos necessários e documentados.
- Rotacionar credenciais usadas em máquinas afetadas ou presentes em sessões administrativas ativas.
- Bloquear execução não autorizada de DLLs em diretórios temporários e revisar carregamentos por
rundll. - Auditar uso de
PsExece execução remota, diferenciando administração legítima de propagação maliciosa. - Validar artefatos de atualização do M.E.Doc em ambientes que utilizavam o software durante o período do ataque.
0 Comentários