Artigos



Surto de Petya Ransomware, um WannaCry feito por especialistas.

Um surto de uma família de ransomware particularmente chamado Petya infectou uma onda de países onde teve origem no leste europeu e está a caminho do mundo. E enquanto o foco atual tem semelhanças com a epidemia de WannaCry do mês passado, pesquisadores de segurança alertam para que a campanha atual seja muito mais profissional e potencialmente muito pior para as empresas.

O F-Secure Labs confirmou que o ransomware que está sendo usado dessa vez é da família Petya Ransomware e que está se comportando como um network worm, espalhando-se pela mesma vulnerabilidade SMB (usando o recurso EternalBlue desenvolvido pela NSA) como WannaCry.

Ao invés de apenas criptografar arquivos, ele bloqueia todo o disco, tornando-o basicamente inutilizável até que a infecção seja removida.

O vetor de infecção para esta campanha ainda é desconhecido, mas o resultado final é basicamente o mesmo.

A maioria das famílias cripto-ransomware almeja e criptografa arquivos nos discos rígidos da vítima. Isso significa que as vítimas não podem acessar esses arquivos, mas ainda podem usar o sistema operacional. O Petya leva-o ao próximo nível, criptografando partes do disco rígido fazendo com que você não consiga acessar nada na unidade, incluindo o Windows.

Tecnicamente falando, aqui está o que acontece:

  1. Arquivo mal-intencionado é executado
  2. Uma tarefa agendada é criada para reiniciar a máquina infectada após 1 hora (parece assim para os usuários)
  3. Enquanto espera pela reinicialização, o Petya procura máquinas na rede para se propagar.
  4. Depois de coletar os endereços IP para infectar, o Petya explora a vulnerabilidade SMB e descarta uma cópia de si mesmo para a máquina alvo.
  5. Após a reinicialização, a criptografia começa durante a inicialização, então a mensagem de resgate é exibida.

Qualquer vítima de Petya provavelmente vê algo assim:

O surto atingiu organizações em todo o mundo, incluindo França, Índia, Espanha, Reino Unido, EUA, Rússia e muito mais. Assim como o WannaCry, o Petya vem infectando vários sistemas, como o sistema de um banco na Ucrânia:

Mas enquanto um pesquisador de segurança inteligente conseguiu capitalizar um erro descuidado cometido pelos atacantes por trás de WannaCry, o consultor de segurança da F-Secure, Sean Sullivan, não vê isso novamente.

“Os atacantes de WannaCry falharam porque não podiam lidar com a quantidade de vítimas que eles criaram. Mas esta campanha Petya, que está basicamente em sua primeira rodada, aparece como mais profissional e pronta para ganhar dinheiro “, diz Sean. “A hora amador definitivamente acabou quando se trata de lançar ataques de resgate global”.

Ransoms são cerca de 300 dólares de bitcoin. Quase 30 pessoas pagaram os atacantes para desbloquear seus dispositivos (sem confirmação sobre se funcionou). Aparentemente, os atacantes tiveram seu endereço de e-mail bloqueado pelo provedor, mas Sean diz que há uma série de razões pelas quais o provedor de e-mail pode reverter essa decisão.

Portanto, as organizações precisam ter cuidado nos próximos dias para evitar infecções por Petya. Devido às semelhanças com o WannaCry, aplica-se o mesmo conselho de segurança: atualize o Windows, configure seu firewall para bloquear o tráfego recebido pela porta 445, se possível, e use uma proteção para endpoint. Os produtos F-Secure têm uma variedade de medidas de proteção incorporadas para ajudar a proteger os clientes da Petya e outros tipos de resgate.

Vamos publicar atualizações à medida que a situação se desenrolar aqui e no Insider de segurança comercial da F-Secure. Você também pode seguir os tweets do F-Secure Chief Research Officer Mikko Hyppönen em tempo real aqui.

Referências:

Petya Ransomware Outbreak is WannaCry done by Pros

What We Learned from WannaCry





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2019. Todos os direitos reservados.