Na última terça-feira, um novo ataque de “ransomware” afetou diversas localidades no mundo, totalizando ao menos 100 países, como Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia. Um dos mais impactados foi a Ucrânia, tendo diversos serviços paralisados também por conta de um outro ciberataque em andamento no país.
O novo “ransomware” tem capacidade de auto replicação e movimentação lateral, além de compartilhar partes de seu código com uma ameaça já conhecida como Petya. Enquanto o objetivo do ransomware é ganhar dinheiro, essa nova variante visa destruir e danificar todos os arquivos. Desta maneira, mesmo que o usuário pague pelo resgate, não terá como recuperar seus arquivos.
Ransomware or not Ransomware?
À princípio o ciberataque foi reconhecido como ransomware Petya por conta de seu comportamento na criptografia, mas há diversas funcionalidades que podem identificar esta ameaça como completamente nova.
Após o primeiro alerta, análises mais cuidadosas passaram a questionar o real objetivo do ataque. Esta implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados. Ao compararmos duas versões do Petya, uma de 2016 e a de agora, é possível identificar que a versão mais recente ocasiona danos irreversíveis, enquanto a mais antiga possibilita a recuperação dos dados.
Com base nos últimos acontecimentos, existe uma forte teoria de que o ataque pode ter sido disparado pela Rússia contra a Ucrânia enquanto atraía a atenção da mídia para mais um caso de ransomware de escala internacional, como aconteceu com o Wanna Cry. Além disso, o serviço de e-mail alemão Posteo bloqueou a conta de endereço que estava registrada nas mensagens do ciberataque, o que impossibilita de uma vítima informar o pagamento ao atacante.
Embora para este ataque específico não seja suficiente, é necessário reforçar a importância de permanecer com o sistema operacional atualizado para evitar possíveis invasões,além de outros cuidados como validação do processo de backup,e segmentação de rede.
Carlos Borges é especialista em cibersegurança do Arcon Labs, laboratório da Arcon
