Muitas organizações na Europa e nos EUA foram prejudicadas por um ataque de ransomware conhecido como “Petya”. O software malicioso se espalhou por grandes empresas, incluindo o anunciante WPP, a empresa de alimentos Mondelez, a firma legal DLA Piper e a empresa dinamarquesa de transporte Maersk, levando a PCs e dados a serem criptografados e resgatados.

É o segundo grande ataque global de ransomware nos últimos dois meses. No início de maio, o Serviço Nacional de Saúde (NHS) da Grã-Bretanha estava entre as organizações infectadas por WannaCry, que usou uma vulnerabilidade revelada pela primeira vez ao público como parte de uma série vazada de documentos relacionados à NSA lançados on-line em abril por um grupo de hackers que se chamava Shadow Brokers.

O ataque do Ransomware não foi projetado para ganhar dinheiro “, afirmam os pesquisadores.

O ataque de resgate WannaCry ou WannaCrypt afetou mais de 230.000 computadores em mais de 150 países, como a NHS, a companhia de telefonia espanhola Telefônica e as ferrovias estatais alemãs entre os mais atingidos.

Como o WannaCry, “Petya” se espalha rapidamente através de redes que usam o Microsoft Windows, mas o que é?, por que isso está acontecendo? e como isso pode ser interrompido?

O que é o Ransomware?
O Ransomware é um tipo de malware que bloqueia o acesso a um computador ou seus dados e exige dinheiro para liberá-lo.

Como funciona?
Quando um computador está infectado, o ransomware criptografa documentos e arquivos importantes e, em seguida, exige um resgate, tipicamente no Bitcoin, para uma chave digital necessária para desbloquear os arquivos. Se as vítimas não tiverem um backup recente dos arquivos, eles devem pagar o resgate ou enfrentar a perda de todos os arquivos.

Como o “Petya” ransomware funciona?
O Ransomware assume computadores e exige US $ 300, pago em Bitcoin. O software malicioso se espalha rapidamente em uma organização uma vez que um computador está infectado usando a vulnerabilidade EternalBlue no Microsoft Windows (a Microsoft lançou um patch, mas nem todos o terão instalado) ou através de duas ferramentas administrativas do Windows. O malware tenta uma opção e, se não funcionar, tenta a próxima. “Tem um mecanismo melhor para se espalhar do que WannaCry“, disse Ryan Kalember, da empresa de segurança cibernética Proofpoint.

Existe alguma proteção?
A maioria das principais empresas de antivírus agora afirmam que seu software atualizou para detectar e proteger ativamente contra infecções “Petya“: os produtos Symantec usando a versão de definições 20170627.009 devem, por exemplo, e o Kaspersky também diz que seu software de segurança agora é capaz de detectar o malware. Além disso, manter o Windows atualizado – pelo menos, ao instalar o patch crítico de março que defende contra a vulnerabilidade EternalBlue – pára uma das principais vias de infecção e também protege contra futuros ataques com diferentes tipos.

Para este surto específico de malware, outra linha de defesa foi descoberta: “Petya” verifica um arquivo somente leitura, C:\ Windows\perfc.dat, e se o encontrar, ele não executará o lado de criptografia do Programas. Mas esta “vacina” na verdade não previne infecção, e o malware ainda usará seu ponto de apoio no seu PC para tentar se espalhar para outros na mesma rede.

Por que é chamado de “Petya”?
Estritamente falando, o malware parece compartilhar uma quantidade significativa de código com uma parte antiga do ransomware que realmente se chamava Petya, mas nas horas após o início do surto, pesquisadores de segurança perceberam que “a semelhança superficial é na realidade mais profunda”. Os pesquisadores da Kaspersky Lab da Rússia derrubaram o malware NotPetya, e cada vez mais variáveis desse nome – Petna, Pneytna e assim por diante – começaram a se espalhar como resultado. Além disso, outros pesquisadores que detectaram o malware de forma independente deram outros nomes: o Bitdefender da Romênia chamou Goldeneye, por exemplo.

Hackers publicam fotos privadas da clínica de cirurgia estética.

Onde começou?
O ataque parece ter sido semeado através de um mecanismo de atualização de software incorporado em um programa de contabilidade que as empresas que trabalham com o governo ucraniano precisam usar, de acordo com a ciber polícia ucraniana. Isso explica por que tantas organizações ucranianas foram afetadas, incluindo o governo, bancos, empresas de energia elétrica do estado e o sistema de aeroportos e metrô de Kiev. O sistema de monitoramento de radiação em Chernobyl também foi desligado, forçando os empregados a usar contadores portáteis para medir os níveis na zona de exclusão da antiga usina nuclear. Uma segunda onda de infecções foi gerada por uma campanha de phishing com anexos carregados de malware.

Até onde ele se espalhou?
O “Petyaransomware causou séria interrupção em grandes empresas na Europa e nos EUA, além das citadas nos inicio da matéria, incluímos a empresa francesa de materiais de construção Saint-Gobain e as empresas russas de aço e petróleo Evraz e Rosneft. A Heritage Valley Health System, que administra hospitais e instalações de atendimento em Pittsburgh, também disse que seus sistemas foram atingidos pelo malware.