A ficha técnica do “ransomware” Petya

Para especialista, implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados

Compartilhar:

Na última terça-feira, um novo ataque de “ransomware” afetou diversas localidades no mundo, totalizando ao menos 100 países, como Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia. Um dos mais impactados foi a Ucrânia, tendo diversos serviços paralisados também por conta de um outro ciberataque em andamento no país.

 

O novo “ransomware” tem capacidade de auto replicação e movimentação lateral, além de compartilhar partes de seu código com uma ameaça já conhecida como Petya. Enquanto o objetivo do ransomware é ganhar dinheiro, essa nova variante visa destruir e danificar todos os arquivos. Desta maneira, mesmo que o usuário pague pelo resgate, não terá como recuperar seus arquivos.

 

Ransomware or not Ransomware?

 

À princípio o ciberataque foi reconhecido como ransomware Petya por conta de seu comportamento na criptografia, mas há diversas funcionalidades que podem identificar esta ameaça como completamente nova.

 

Após o primeiro alerta, análises mais cuidadosas passaram a questionar o real objetivo do ataque. Esta implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados. Ao compararmos duas versões do Petya, uma de 2016 e a de agora, é possível identificar que a versão mais recente ocasiona danos irreversíveis, enquanto a mais antiga possibilita a recuperação dos dados.

 

Com base nos últimos acontecimentos, existe uma forte teoria de que o ataque pode ter sido disparado pela Rússia contra a Ucrânia enquanto atraía a atenção da mídia para mais um caso de ransomware de escala internacional, como aconteceu com o Wanna Cry.  Além disso, o serviço de e-mail alemão Posteo bloqueou a conta de endereço que estava registrada nas mensagens do ciberataque, o que impossibilita de uma vítima informar o pagamento ao atacante.

 

Embora para este ataque específico não seja suficiente, é necessário reforçar a importância de permanecer com o sistema operacional atualizado para evitar possíveis invasões,além de outros cuidados como validação do processo de backup,e segmentação de rede.

 

Carlos Borges é especialista em cibersegurança do Arcon Labs, laboratório da Arcon

Conteúdos Relacionados

Security Report | Destaques

De CISO para CISO: 8 pilares para mudar a Cibersegurança ainda em 2025

Na visão de Bruno Moraes, fundador do Cyber Horizon Group, o mercado brasileiro precisa virar a chave da Cibersegurança. Em...
Security Report | Destaques

Gerente do Banco da Amazônia é preso por facilitar fraude cibernética

O mandado foi executado em Santa Inês, no Maranhão, contra um suspeito de facilitar a fraude de R$ 107 milhões...
Security Report | Destaques

Operação conjunta prende dois novos envolvidos no incidente da C&M

A Polícia Federal, juntamente com o Ministério Público de São Paulo, deflagraram a operação Magna Fraus em Goiás e no...
Security Report | Destaques

“A linguagem de risco consiste em dinheiro”, diz CEO da Qualys

Durante a abertura do Cyber Risk Conference Brazil, o CEO da Qualys, Sumedh Thakar, defendeu que traduzir o risco cibernético...