Ransomware disfarçado: especialistas dizem que Petya não visa resgate

Especialistas em segurança dizem que o malware Petya foi criado com o intuito de tornar irrecuperável a informação, e não de usá-la para resgate.

As vítimas do último surto possuem mais um motivo para não pagar o resgate – o malware Petya não é capaz de restaurar arquivos.

Pesquisadores da Comae Technologies e da Kaspersky Lab chegaram independentemente na mesma conclusão de que o Petya é um limpador de dados, e não um ransomware. Anton Ivanov e Orkhan Mamedov, da Kaspersky Lab, disseram que o malware deve disfarçar-se como ransomware, e a “chave de instalação”, mostrada ao usuário em uma nota de resgate Petya, é meramente um dado aleatório.

“Isso significa que o invasor não pode extrair nenhuma informação de descriptografia de tal seqüência gerada aleatoriamente e exibida às vítimas. Como resultado, as vítimas não serão capazes de descriptografar qualquer um dos discos criptografados usando a ID da instalação”, disse o par.

“O que isso significa? Bem, antes de tudo, este é o pior cenário para as vítimas – mesmo que paguem o resgate, eles não receberão seus dados de volta. Em segundo lugar, isso reforça a teoria existente de que o objetivo principal do ataque ExPetr não teve motivos financeiros, apenas de causar danos”.

Aos usuários infectados é exibido um endereço de e-mail, agora extinto, na nota de resgate. Até o momento desta publicação, a carteira de bitcoin atrelada ao malware havia coletado cerca de US$10.300 em resgates.

Matt Suiche da Comae Technologies disse que o malware substituiu propositadamente os primeiros 25 blocos em um disco.

“Acreditamos que o Ransomware foi, de fato, uma distração para controlar a narrativa da mídia, especialmente após os incidentes do WannaCry, atraindo a atenção para algum grupo de hackers misterioso, em vez de um invasor de porte Nacional, como já vimos no passado em casos como o Shamoon “, escreveu ele.

De acordo com Suiche, enquanto as versões anteriores do Petya permitiam recuperar dados, em sua última versão, o Petya causa danos permanentes.

Um dia após o início do surto Petya, pelo menos 2.000 ataques foram registrados em mais de 64 países.

A Microsoft confirmou através de seus dados de telemetria que várias infecções iniciais ocorreram através do software de contabilidade fiscal da Ucrânia, o MEDoc.

“Embora este vetor tenha sido especulado extensamente por meios de comunicação e pesquisadores de segurança – incluindo a própria Polícia Cibernética da Ucrânia – houve apenas evidências circunstanciais para este vetor. A Microsoft agora tem evidências de que algumas infecções ativas do Ransomware inicialmente começaram a partir de um processo legítimo de atualização MEDoc “, disse a Microsoft.

Na quarta-feira, o secretário-geral da OTAN, Jens Stoltenberg, disse que o artigo de defesa coletiva no Tratado do Atlântico Norte poderia ser invocado diante de um ataque cibernético.

“Também decidimos que um ataque cibernético pode desencadear o Artigo 5 e também decidimos – e estamos no processo de estabelecer – o cyber como domínio militar, o que significa que teremos terra, ar, mar e cyber como domínios militares “, disse ele.

*Este texto foi originalmente produzido, em inglês, por zdnet

Deixe um comentário

O seu endereço de e-mail não será publicado.

Enviar mensagem
Fale com o nosso especialista
Olá, como podemos ajudar?