A ficha técnica do “ransomware” Petya

Para especialista, implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados

Compartilhar:

Na última terça-feira, um novo ataque de “ransomware” afetou diversas localidades no mundo, totalizando ao menos 100 países, como Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia. Um dos mais impactados foi a Ucrânia, tendo diversos serviços paralisados também por conta de um outro ciberataque em andamento no país.

 

O novo “ransomware” tem capacidade de auto replicação e movimentação lateral, além de compartilhar partes de seu código com uma ameaça já conhecida como Petya. Enquanto o objetivo do ransomware é ganhar dinheiro, essa nova variante visa destruir e danificar todos os arquivos. Desta maneira, mesmo que o usuário pague pelo resgate, não terá como recuperar seus arquivos.

 

Ransomware or not Ransomware?

 

À princípio o ciberataque foi reconhecido como ransomware Petya por conta de seu comportamento na criptografia, mas há diversas funcionalidades que podem identificar esta ameaça como completamente nova.

 

Após o primeiro alerta, análises mais cuidadosas passaram a questionar o real objetivo do ataque. Esta implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados. Ao compararmos duas versões do Petya, uma de 2016 e a de agora, é possível identificar que a versão mais recente ocasiona danos irreversíveis, enquanto a mais antiga possibilita a recuperação dos dados.

 

Com base nos últimos acontecimentos, existe uma forte teoria de que o ataque pode ter sido disparado pela Rússia contra a Ucrânia enquanto atraía a atenção da mídia para mais um caso de ransomware de escala internacional, como aconteceu com o Wanna Cry.  Além disso, o serviço de e-mail alemão Posteo bloqueou a conta de endereço que estava registrada nas mensagens do ciberataque, o que impossibilita de uma vítima informar o pagamento ao atacante.

 

Embora para este ataque específico não seja suficiente, é necessário reforçar a importância de permanecer com o sistema operacional atualizado para evitar possíveis invasões,além de outros cuidados como validação do processo de backup,e segmentação de rede.

 

Carlos Borges é especialista em cibersegurança do Arcon Labs, laboratório da Arcon

Conteúdos Relacionados

Security Report | Destaques

O que o incidente na C&M ensina sobre proteção de acessos?

O grave impacto gerado pelo recente incidente colocou temas como a gestão de acessos de usuários e empresas terceiras de...
Security Report | Destaques

Como transformar pessoas no elo mais forte contra ameaças baseadas em IA?

Durante a agenda de apresentações do Security Leaders Florianópolis, o CISO da CERC, Rodrigo Jorge, alertou os congressistas sobre a...
Security Report | Destaques

Ingram Micro sofre ataque de ransomware

Provedora de produtos e serviços de TI anunciou que detectou atividades cibercriminosas nos seus sistemas internos devido à presença de...
Security Report | Destaques

Centauro alerta para instabilidade no site, mas não confirma possível data leak

A companhia de equipamentos esportivos precisou derrubar o portal oficial de vendas e o aplicativo mobile após identificar erro estrutural...