A ficha técnica do “ransomware” Petya

Para especialista, implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados

Compartilhar:

Na última terça-feira, um novo ataque de “ransomware” afetou diversas localidades no mundo, totalizando ao menos 100 países, como Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia. Um dos mais impactados foi a Ucrânia, tendo diversos serviços paralisados também por conta de um outro ciberataque em andamento no país.

 

O novo “ransomware” tem capacidade de auto replicação e movimentação lateral, além de compartilhar partes de seu código com uma ameaça já conhecida como Petya. Enquanto o objetivo do ransomware é ganhar dinheiro, essa nova variante visa destruir e danificar todos os arquivos. Desta maneira, mesmo que o usuário pague pelo resgate, não terá como recuperar seus arquivos.

 

Ransomware or not Ransomware?

 

À princípio o ciberataque foi reconhecido como ransomware Petya por conta de seu comportamento na criptografia, mas há diversas funcionalidades que podem identificar esta ameaça como completamente nova.

 

Após o primeiro alerta, análises mais cuidadosas passaram a questionar o real objetivo do ataque. Esta implementação do Petya não tem exatamente a funcionalidade de um ransomware, mas sim, de Wiper, que tem a função exclusiva de destruição de dados. Ao compararmos duas versões do Petya, uma de 2016 e a de agora, é possível identificar que a versão mais recente ocasiona danos irreversíveis, enquanto a mais antiga possibilita a recuperação dos dados.

 

Com base nos últimos acontecimentos, existe uma forte teoria de que o ataque pode ter sido disparado pela Rússia contra a Ucrânia enquanto atraía a atenção da mídia para mais um caso de ransomware de escala internacional, como aconteceu com o Wanna Cry.  Além disso, o serviço de e-mail alemão Posteo bloqueou a conta de endereço que estava registrada nas mensagens do ciberataque, o que impossibilita de uma vítima informar o pagamento ao atacante.

 

Embora para este ataque específico não seja suficiente, é necessário reforçar a importância de permanecer com o sistema operacional atualizado para evitar possíveis invasões,além de outros cuidados como validação do processo de backup,e segmentação de rede.

 

Carlos Borges é especialista em cibersegurança do Arcon Labs, laboratório da Arcon

Conteúdos Relacionados

Security Report | Destaques

Dataprev investiga suposto comprometimento de dados no INSS

Nesta semana, circularam nas redes informação de que o sistema de Comunicação de Acidente de Trabalho (CAT), ligado ao instituto...
Security Report | Destaques

Aarin Tech-Fin renova estratégia de borda baseada em confiança zero

Proteger o acesso às APIs críticas para a operação empresarial era um dos grandes desafios encarados pela companhia de serviços...
Security Report | Destaques

Grupo Sabin é atingido por incidente cibernético

Companhia de Diagnósticos de Saúde confirmou, por meio de nota, que um ciberataque impactou suas operações na loja online no...
Security Report | Destaques

Boas práticas de SI em São Paulo: guia busca conduzir estratégia de resiliência no estado

A Secretaria de Gestão e Governo Digital (SGGD) do Estado de São Paulo instituiu, no fim de 2024, um plano...