Centro de ataque Petya tornou-se a Ucrânia na tarde de terça-feira. Várias empresas e instituições locais (incluindo bancos, operadoras de telecomunicações, fornecedores de energia e até o fabricante de aeronaves Antonov) foram vítimas de cibercriminosos que instalaram Vírus Petya eles criptografaram os dados nos discos rígidos e, em seguida, eles exigiram um resgate de $ 300.
Rapidamente descobriu-se que a epidemia de Petya também está se espalhando para outros países ao redor do mundo. As regiões mais afetadas por ataques na Europa incluem, entre outras Rússia, Dinamarca, Espanha, Holanda e Grã-Bretanha, também EUA e países da América do Sul e Ásia. De acordo com informações fornecidas pelo The New York Times, até quarta-feira mais de 66 países do mundo estavam na lista de vítimas do Petya.
Algumas empresas polonesas, principalmente aquelas que cooperam com o mercado ucraniano, também foram afetadas pelo ataque Petya. As autoridades polacas, no entanto, avaliaram a ameaça representada por este vírus como baixa e não viram uma ameaça séria à infraestrutura nacional de TIC na mensagem enviada aos meios de comunicação.
O ataque Petya tornou-se recentemente a segunda infecção em massa de computadores com ransomware. Mais cedo, em meados de maio deste ano. Houve um incidente semelhante em escala global em que o software WannaCry (WannaCrypt) foi usado.
Apenas algumas horas após as notícias sobre o vírus Petya, surgiram informações na web de que esta variante de ransomware é mais eficaz do que WannaCry em atacar computadores, porque é capaz de infectar máquinas com a versão mais recente do sistema equipado com as atualizações mais recentes Windows 10, que é capaz de afastar o ataque do WannaCry.
Petya e WannaCry não são a mesma coisa
Uma opinião semelhante é compartilhada por especialistas em segurança de rede da F-Secure e Fortinet, que compartilharam seus comentários sobre Petya com Wirtualnmedia.pl.
– O software Petya usa as mesmas vulnerabilidades usadas no ataque WannaCry em maio deste ano. – sublinhadas Aamir Lakhani, especialista em segurança cibernética da Fortinet. – Este é o chamado “Ransom worm” – esta variante, em vez de atacar uma única organização, usa um worm para infectar todos os dispositivos que encontra em seu caminho.
De acordo com Aamir Lakhani, parece que o ataque atual começou com a distribuição de um arquivo Excel que explora uma vulnerabilidade conhecida no Microsoft Office.
– O resultado de um ataque bem sucedido é a criptografia de arquivos no computador, e os cibercriminosos estão exigindo um resgate de 300 dólares em moeda Bitcoin para seu recompartilhamento. Além disso, eles alertam que desligar o computador resultará na perda total do sistema, o que torna o Petya diferente da maioria dos ransomwares até hoje – acredita o especialista. – Infelizmente, apesar da publicidade da existência de muitas vulnerabilidades nos sistemas da Microsoft e do lançamento de patches apropriados e da escala global da segunda onda de ataque WannaCry, ainda milhares de organizações, incluindo aquelas que gerenciam infraestrutura crítica, não conseguiram melhorar seus segurança. Como o Petya usa vetores de ataque adicionais, simplesmente atualizar o sistema operacional não é suficiente para protegê-lo completamente. Isso significa que, além de atualizar seu software, você deve ter práticas e ferramentas de segurança apropriadas.
Lakhani lembra que, do ponto de vista financeiro, o WannaCry não foi particularmente bem-sucedido, pois não gerou grandes lucros para seus desenvolvedores.
– A razão para isso foi encontrar uma receita para neutralizar o ataque de forma relativamente rápida. Por sua vez, Petya é uma versão mais avançada, mas resta saber se os criminosos conseguirão ganhar mais com ela, prevê o especialista da Fortinet.
Ele comenta sobre o novo ataque em uma veia semelhante Sean Sullivan, consultor de segurança cibernética da F-Secure.
Os cibercriminosos que usam o WannaCry recentemente não conseguiram extorquir uma grande quantia porque não conseguiram lidar com o número de vítimas afetadas por malware que se espalhou em uma escala sem precedentes, diz Sean Sullivan. – Parece que o ataque cibernético do ransomware Petya é um ataque mais ‘deliberado’ com fins lucrativos. Os tempos acabaram quando os ataques cibernéticos globais de resgate são realizados por amadores.
O ransomware está evoluindo e os ataques subsequentes serão mais perigosos
Leszek Tasiemski, especialista em segurança cibernética da F-Secure chama a atenção para o facto de nos dois últimos casos de ataques de ransomware, o software utilizado para tal ter sofrido uma evolução específica e por isso torna-se cada vez mais perigoso.
– Petya é uma contraparte mais recente e eficaz do recente ataque de ransomware chamado WannaCry – diz Leszek Tasiemski. – Por outro lado, também infecta sistemas totalmente atualizados. O ataque ocorre em duas fases – espalhando a infecção e criptografando o o aos dados no computador da vítima. O Petya se espalha pela rede local tentando infectar computadores vizinhos usando o nome de usuário e a senha extraídos do computador da primeira vítima. Após várias dezenas de minutos infectando outros computadores, ocorre uma reinicialização automática, após a qual o software criptografa o o aos arquivos e exibe uma tela de pedido de resgate.
Tasiemski prevê que podemos esperar mais muitos desses tipos de ataques, cada vez mais sofisticado e eficaz na divulgação.
– Vivemos em uma época em que o malware interromperá regularmente o funcionamento não apenas de usuários individuais, mas até mesmo das maiores instituições e empresas – prevê o especialista e a propósito revela detalhes técnicos sobre o ataque usando o novo vírus.
– Petya tenta recuperar senhas da memória do sistema Windowse, em seguida, tenta encontrar e infectar todos os dispositivos da rede local (usando as portas t / 445 e t / 139, bem como os mecanismos WMI e PSexec) – explica Tasiemski. – Isso significa que o vetor de ataque original é clássico – na prática alguém tem que clicar em alguma coisa. No entanto, uma vez que a infecção ocorre, desde que ainda haja rastros de do de domínio no computador infectado, o Petya pode infectar todos os outros computadores da rede. Após a infecção, o software modifica o setor de inicialização do disco (MBR) instalando um software de criptografia nele. Então, por várias dezenas (30-40) minutos, ele tenta infectar outras máquinas da maneira descrita acima, após o que a máquina é reiniciada e iniciada no programa de criptografia (no modo de terminal de texto), que ao mesmo tempo exibe as informações sobre o resgate solicitado. A criptografia é realizada usando o forte algoritmo AES-128, o que significa pouca chance de descriptografar o conteúdo sem pagar o resgate. A taxa para desbloquear os dados é tradicionalmente feita na criptomoeda BitCoin – atualmente o equivalente a US$ 300.
