Partilhe nas Redes Sociais

NotPetya: como aconteceu a primeira infeção?

Publicado em 6 Julho 2017 | 920 Visualizações

A especialista em segurança Eset diz ter identificado a forma como os piratas que espalharam o ransomware NotPetya no final de junho infetaram a primeira vítima, a empresa de contabilidade ucraniana M.E. Doc.

Segundo os investigadores, os atacantes injetaram uma backdoor furtiva e inteligente num dos módulos legítimos do software M.E.Doc. A Eset diz que parece «muito improvável» que os piratas tenham conseguido fazer isto sem terem acesso ao código fonte do software. Ou seja, eles tiveram tempo para aprender o código e incorporar uma backdoor extremamente eficiente e que facilitou a difusão do malware à escala mundial.

O módulo comprometido tinha o nome de ficheiro ZvitPublishedObjects.dll e foi escrito utilizando o .NET Framework. É um ficheiro de 5MB que continha muitas linhas de código legítimo que podiam ser chamadas por outros componentes. Fica ainda por saber há quanto tempo esta backdoor estava a ser utilizada e que outras ameaças poderão ter sido injetadas.

O NotPetya difere do WannaCry, que atacou sistemas mundiais em maio, porque não se limita a encriptar os ficheiros do utilizador: ataca o Master Boot Record, parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado.

Tal como várias empresas de segurança apontaram, este ransomware explora um exploit SMB (EternalBlue) para se conseguir infiltrar na rede à qual o computador está ligado, e recorre ao PsExec para se espalhar.

«Esta combinação perigosa pode ser o motivo pelo qual esta ameaça se está a disseminar a nível global e tão rapidamente, mesmo depois dos outros ataques terem merecido uma cobertura mediática tão grande e de muitas vulnerabilidades terem sido corrigidas», explica a Eset. A empresa salienta que «apenas é necessário que haja um computador sem proteção numa determinada rede para que esta ameaça consiga penetrar em toda a infraestrutura».

Já verificou se o seu computador está protegido contra o ataque.

 


Publicado em:

Atualidade

Partilhe nas Redes Sociais

Artigos Relacionados