Partilhe nas Redes Sociais

NotPetya: onde começou o novo ataque de ransomware global

Publicado em 28 Junho 2017 por Ana Rita Guerra | 1554 Visualizações

Um dia depois de sistemas em todo o mundo terem sido infetados num novo ataque de ransomware, as empresas de segurança descobriram o ponto original de infeção e os detalhes por detrás deste ataque. Inicialmente, pensou-se que o ransomware era o Petya, mas este código malicioso estava apenas “disfarçado”; é por isso que a Kaspersky Lab, a Eset e outras empresas estão a chamar-lhe “NotPetya” (ou NyetPetya, como lhe chama a Cisco).

De acordo com a Eset, a primeira máquina atingida localiza-se nos escritórios da MeDoc, uma empresa de software de contabilidade na Ucrânia. Visto que o seu software é usado em vários sectores da economia do país, incluindo instituições financeiras, o ataque espalhou-se rapidamente. Vários utilizadores executaram uma versão do software MeDoc que continha um trojan e a sua expansão foi global, desde a Rússia, Itália e Israel à Sérvia, Estados Unidos e Hungria.

O que é interessante na análise deste ataque é que, ao contrário do Petya, o NotPetya não teve ganhos financeiros como principal objetivo. Os atacantes não fizeram grandes esforços para extorquir os 300 dólares em Bitcoin que pediam no resgate; a Wallet ID e Personal Installation Key associadas ao ataque foram desligadas na origem pelos piratas. A Eset aconselhou as vítimas a não pagar o resgate, visto que tal não teria efeitos – de resto, este é o conselho habitual dos especialistas de segurança perante um episódio de ransomware.

A divisão de inteligência de cibersegurança da Cisco, Talos, explica que este código malicioso é diferente das variantes Petya, Petrwrap e GoldenEye. Comporta-se como um worm que se estende a toda a rede, tal como o WannaCry. A grande diferença é que se propaga internamente e não através de anexos por email (tinha-se falado em phishing num primeiro momento depois do ataque, mas tal não foi confirmado).

Assim que entra na rede, o ransomware utiliza três mecanismos para se instalar de forma automática: através da vulnerabilidade conhecida como EternalBlue (protocolo SMB da Microsoft), já explorada pelo WannaCry em maio; Psexec, uma ferramenta legítima de administração do Windows; e WMI, uma componente legítima do Windows.

A Eset adianta que, ao contrário do recente WannCry, o malware Petya não se limita a encriptar os ficheiros do utilizador: ataca o “Master Boot Record” – uma parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado. Se o malware conseguir infetar com sucesso a MBR, encripta todo o disco; caso contrário, encripta todos os ficheiros.

«Estamos novamente perante um repetido fenómeno de ciberataques maciços cujo resultado final é um ataque por ransomware, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate – na melhor hipótese acontece a encriptação de ficheiros, sendo que no pior cenário todo o disco é encriptado», diz Nuno Mendes, CEO da WhiteHat, que representa a Eset em Portugal. De acordo com este responsável, o que mais se destaca deste novo ataque é «o recurso a técnicas usadas previamente noutro tipo de ataques que foram engenhosamente orquestradas para causar um efeito mais devastador nos sistemas».

A Eset informa que, neste caso, desligar o PC e não o voltar a ligar pode prevenir a encriptação do disco, embora vários ficheiros possam já ter sido encriptados após a substituição do MBR e depois de outras tentativas de ataque através da rede local.

 

Para evitar vagas de ataques como esta, os especialistas aconselham: 

  • Implementar uma solução de segurança anti-malware com proteção multicamada.
  • Ter os sistemas atualizados: é preciso garantir a utilização de sistemas operativos com apoio e em dia.
  • Ter um plano de recuperação contra desastres com cópias de segurança de dados offline.

Publicado em:

Atualidade

Partilhe nas Redes Sociais

Artigos Relacionados