Petya Ransomware Attack: o que é e porque está acontecendo de novo

Outro mês, outro ataque global de ransomware. Justo quando parecia que a ameaça do WannaCry havia se dissipado, organizações de todo o mundo estão se sentindo sitiadas por uma nova ameaça.

Apenas seis semanas depois de WannaCry, o mundo foi vítima de outro ataque ransomware na forma de Petya / GoldenEye. Mas por que as lições não foram aprendidas? Vamos entender como se deu o ataque:

Este ataque cibernético primeiro atingiu alvos na Ucrânia, incluindo seu banco central, principal aeroporto internacional e até o centro nuclear de Chernobyl, antes de se espalhar rapidamente pelo mundo infectando organizações em toda a Europa, América do Norte e até mesmo a Austrália. Um dia após o incidente ter começado, ao menos 2.000 ataques foram registrados em pelo menos 64 países.

As primeiras indicações sugerem que este foco está em uma versão modificada do Pansia Ransomware, combinando elementos do GoldenEye e do WannaCry Ransomware em algo extremamente poderoso.

Ele junta a natureza feroz do GoldenEye – não apenas criptografando arquivos, mas discos rígidos inteiros, tornando redes inutilizáveis por completo – juntamente com a mesma falha EternalBlue do Windows, que forneceu o WannaCry com os recursos semelhantes ao worm que atingiu 300 mil computadores em todo o mundo no dia 12 de Maio.

O exploit foi desenvolvido pela NSA antes de ser vazado pelo grupo de hackers Shadow Brokers e, apesar da Microsoft emitir um patch, a extensão dos novos ataques de ransomware parece sugerir que muitos sistemas ainda são muito vulneráveis ​​à ameaça.

As agências governamentais e as empresas de segurança cibernética em todo o mundo estão investigando o ataque – e os pesquisadores ofereceram um método temporário de “vacinação” contra isso – mas como isso aconteceu novamente, apenas seis semanas em um surto de resgate global anterior?

O alcance destrutivo do Petya Ransomware

Uma das razões pelas quais essa nova forma de Petya está se mostrando tão efetiva é devido ao aprimoramento das capacidades de worms, permitindo que se espalhe por redes infectadas, o que significa que apenas uma máquina desprotegida em uma rede é tudo do que se precisa para que toda a operação caia.

Mas não para por aí, os pesquisadores em cibersegurança da Microsoft dizem que o ransomware possui múltiplas técnicas de “movimentos laterais”, usando compartilhamentos de arquivos para transferir o malware através da rede, usando funções legítimas para executar o arquivo infeccioso e possuindo habilidades de trojan para roubar credenciais.

Os pesquisadores sugeriram que os e-mails de phishing e os ataques de watering hole estão sendo usados ​​para espalhar o malware, enquanto que a análise feita pela empresa Talos Intelligence sugere que é possível que algumas infecções possam estar associadas a sistemas de atualização de software para um pacote de contabilidade fiscal ucraniano chamado MeDoc.

No entanto, a empresa negou a reivindicação, apesar de aparentemente admitir que seu servidor estivesse infectado com um vírus em uma publicação anterior já excluída.

Mas uma das principais razões pelas quais muitas organizações, especialmente aquelas nos setores industriais e de transporte, estão sendo vítimas desse surto é Porque não estão corrigindo seus sistemas.

Por que as empresas não estão corrigindo seus sistemas?

Em alguns casos simplesmente não é possível atualizar certas máquinas, mas na maioria das vezes é provável que sofrer um ataque se deva a apenas não aplicar atualizações de segurança disponibilizadas para proteger o sistema contra a falha EternalBlue SMB vazada.

Muitas organizações utilizam sistemas que, por qualquer motivo, sejam logísticos ou financeiros, simplesmente não foram corrigidos e, portanto, agora são alvos fáceis de ransomware.

“Isso parece estar atingindo grandes empresas industriais, como a empresa de transporte marítimo Maersk e a empresa de petróleo Rosneft. Essas organizações geralmente têm dificuldade para corrigir todas as suas máquinas porque muitos sistemas simplesmente não podem ter parar. Os aeroportos também têm esse desafio”, disse Chris Wysopal, Cofundador e CTO da Veracode.

Não está claro quem está por trás do ataque e, neste caso, o endereço de e-mail registrado para transferir resgates com Bitcoin já foi desativado pela empresa hospedeira, o que significa que aqueles por trás do ataque não conseguirão arrecadar o dinheiro.

Mas alguns especulam que os atacantes estão mais interessados ​​em causar danos do que ganhar dinheiro – especialmente agora que o malware está à solta, ele continuará se espalhando até que possa, de alguma forma, ser interrompido.

“Há evidências crescentes de que o objetivo desse novo ataque Ransomware não vise a lucratividade, mas sim, a destruição de dados”, disse Bogdan Botezatu, analista sênior de ameaça eletrônica da Bitdefender.

Ele menciona a seleção de um provedor regular de serviços de e-mail como um canal de pagamento, a falta de um sistema de pagamento automatizado e uma “falha total de usabilidade” na confirmação de pagamento, onde o usuário deve digitar uma “chave de instalação pessoal” extremamente longa, tornando fácil induzir ao erro de quem queira pagar.

Diante disso, o que está sendo aconselhado pelos pesquisadores é não pagar o resgate, mas essa informação infelizmente não chegou a todas as vítimas, mesmo após a conta de e-mail relacionada aos responsáveis ser encerrada, pouco mais de 40 vítimas se submeteram e pagaram o resgate, mesmo não havendo nenhuma forma de efetivamente recuperar o acesso aos seus dados fazendo isso.

O que, por si só, proporciona um microcosmo para o motivo do funcionamento do ransomware – em muitos casos, as vítimas sentem como se não tivessem outra opção senão pagar os resgates, encorajando os atacantes mais ainda.

A preocupação agora é, se esta nova forma de ransomware é muito mais eficaz do que o WannaCry depois de apenas algumas semanas, o quão pior poderia ficar no futuro?

“Nós acreditamos que os eventos de hoje fazem parte da evolução natural da tecnologia do ransomware, mas também um teste para um ataque muito maior e mais ousado no futuro”, disse Steve Grobman CTO na McAfee.

Por enquanto, há duas coisas que podem ser feitas em um esforço para minimizar as chances de se tornar vítima de ransomware. O primeiro é garantir que todos os seus sistemas operacionais e softwares sejam corrigidos e atualizados; o segundo é ser cauteloso em relação aos links e anexos nos e-mails – dois dos principais vetores de ataque para a propagação inicial de ataques ransomware.

*Este texto foi originalmente produzido, em inglês, por zdnet

Deixe um comentário

O seu endereço de e-mail não será publicado.

Enviar mensagem
Fale com o nosso especialista
Olá, como podemos ajudar?