ESET deteta o “paciente zero” do ransomware Petya

Próximo artigo

Investigadores da ESET, empresa especializada em soluções de segurança informática, localizaram o ponto a partir do qual a nova “epidemia” mundial de ransomware originou: uma empresa de software de contabilidade ucraniana chamada M.E.Doc.

Este “paciente zero” do novo ataque mundial de revelou-se (infelizmente) numa boa escolha para iniciar a infeção, uma vez que é uma empresa cujo software de contabilidade é muito popular e usado em diferentes setores económicos da Ucrânia, incluindo instituições financeiras.

A partir deste ponto inicial, vários utilizadores executaram uma atualização “trojanizada” do software M.E.Doc, a qual permitiu aos atacantes lançarem ontem uma campanha maciça de ransomware que se espalhou rapidamente pela Ucrânia e já atingiu também empresas e instituições de outros países, nomeadamente – e por ordem de severidade – na Itália, Israel, Sérvia, Roménia, EUA, Lituânia e Hungria. Entretanto, a ESET determinou também que o pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” e respetiva “Personal Instalation Key” foram desabilitadas na origem pelo provedor. Os utilizadores afetados não deverão por isso pagar o pedido de resgate uma vez que não serão capazes depois de receber a chave de desencriptação.

É possível verificar se o seu computador se encontra protegido contra esta vulnerabilidade através de uma ferramenta gratuita fornecida pela ESET aqui: support.eset.com/kb6481/

O que é o ransomware NotPetya?

O novo ataque de ransomware à escala internacional começou no dia 27 de junho, terça-feira, e está aparentemente relacionado com a família “Petya”, que é atualmente detetada pela ESET como Win32/Diskcoder.C Trojan, a qual é tecnicamente baseado no mesmo tipo de vulnerabilidade do recente ataque de ransomware popularmente conhecido por WannaCry. Este ransomware surge por vezes também identificado como “NotPetya” – porque, apesar de estar relacionado com a família de malware com o mesmo nome, é diferente.

Ao contrário do recente WannCry, o malware Petya não se limita a encriptar os ficheiros do utilizador: ataca o chamado “Master Boot Record” – uma parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado. Se o malware conseguir infetar com sucesso a MBR, encripta todo o disco; caso contrário, encripta todos os ficheiros.

Para se espalhar, este malware parece utilizar uma combinação de um “exploit” SMB (EternalBlue), o mesmo que foi utilizado pelo WannaCry, para se conseguir infiltrar na rede à qual o computador está ligado, e recorre posteriormente ao PsExec para se espalhar. Esta combinação perigosa pode ser o motivo pelo qual esta ameaça se está a disseminar a nível global e tão rapidamente, mesmo depois dos outros ataques terem merecido uma cobertura mediática tão grande e de muitas vulnerabilidades terem sido corrigidas.

Importa salientar que apenas é necessário que haja um computador sem proteção numa determinada rede para que esta ameaça consiga penetrar em toda a infraestrutura. Posteriormente, o malware pode obter privilégios de administração e espalhar-se a outros computadores.

Proteção proativa

Nuno Mendes, CEO da WhiteHat, representante em Portugal da ESET, referiu a propósito que “estamos novamente perante um repetido fenómeno de ciberataques maciços cujo resultado final é um ataque por ‘ransomware’, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate – na melhor hipótese acontece a encriptação de ficheiros, sendo que no pior cenário todo o disco é encriptado.”

“Porém”, segundo este responsável, “o que mais se destaca deste novo ataque é o recurso a técnicas usadas previamente noutro tipo de ataques que foram engenhosamente orquestradas para causar um efeito mais devastador nos sistemas.”

“Esta ou outras vagas de ataques podem ser potencialmente bloqueadas de forma proativa implementando uma solução de segurança anti-malware com protecção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas”, concluiu Nuno Mendes.

A ESET informa também que, neste caso específico, desligar o PC e não o voltar a ligar pode prevenir a encriptação do disco muito embora vários ficheiros possam já ter sido encriptados após a substituição do MBR e depois de outras tentativas de ataque através da rede local.