A FireEye atua junto a Polícia Nacional da Ucrânia para identificar como se deu o ataque Petya – ação de uma variante do ransomware de mesmo nome, a qual pode ter sido disseminada através do recurso EternalBlue, utilizado durante o ataque WannaCry realizado em maio.
Registrado no fim do último mês, o EternalPetya (também conhecido como NotPetya ou Petya), afetou inúmeras organizações ucranianas, incluindo empresas, aeroportos e departamentos governamentais. Assim como interrompeu as atividades de companhias multinacionais com operações no país.
“Este ataque cibernético atingiu uma escala raramente observada na Ucrânia”, afirma Sergey Demediuk, chefe do departamento cibernético da polícia nacional da Ucrânia. “Para termos a visibilidade completa deste, a fim de garantir que os perpetradores tenham sérias consequências, solicitamos o auxílio da FireEye nesta investigação por conta de sua profunda experiência em investigações forenses e avaliações de inteligência”, explica.
De acordo com John Hultquist, diretor da análise de espionagem cibernética da FireEye, a análise inicial do EternalPetya encontrou semelhanças deste com ataques cibernéticos realizados pelo Sandworm Team, um grupo com base na Rússia. “Este grupo já havia apontado a Ucrânia no passado: em dezembro de 2015 e, novamente, em dezembro de 2016, quando gerou as únicas interrupções de energia conhecidas e atribuídas a um ataque cibernético. Por isso, acreditamos que o grupo é patrocinado pelo governo russo”, complementa.
A FireEye tem realizado inspeções forenses dos servidores e estações de trabalho os quais foram confiscados, além de procurar as evidências que confirmem o vetor de infecção inicial e como as máquinas ajudaram a espalhar o malware, e também analisa os dados de telemetria para um panorama completo de inteligência.
