Inicialmente chamado de Petya, especialista explica que ciberataque utiliza diversas funcionalidades do Windows para tomar controle total das máquinas de redes das organizações.
O novo ciberataque em massa iniciado ontem (27/6) na Europa, e que já se espalhou por 64 países do mundo, incluindo o Brasil, foi classificado inicialmente como Petya e explora a mesma falha que o WannaCry, a Eternal Blue. No entanto, especialistas apontam que se trata de uma ameaça mais complexa e que utiliza diversas do Windows para controlar as máquinas de uma corporação, sendo capaz de infectar até mesmo sistemas atualizados.
Novo ataque em massa de ransomware faz vítimas na Europa e chega ao Brasil
Segundo Carlos Borges, especialista em cibersegurança do Arcon Labs, laboratório da empresa de serviços gerenciados de segurança Arcon, o ataque tem sido chamado de Petya/Non Petya, visto que a única similaridade com o original é a característica de sequestrar dados. “Poderíamos chamar de Petya 2.0, já que é um ransomware evoluído”, comenta.
Essa evolução é atribuída a três funcionalidades que os hackers adicionaram ao Petya tradicional. A primeira é o PSEXEC, que permite executar comando em computadores remotos; a WMI, cuja função é integrar máquinas em uma rede interna; e o Mimikatz, ferramenta de pesquisa da área de segurança, que permite coletar usuários e senhas e é subvertida para roubo de credenciais nesse ataque.
Já a infecção ocorre tradicionalmente, a partir de técnicas de phishing, com e-mails ou sites maliciosos, ou o chamado Watering Hole, um site confiável que é infectado e vira um ponto de distribuição de malware. O Eternal Blue, explica Borges, é aproveitado para fazer a primeira infecção do Petya/Non Petya, que depois se distribui dentro da rede via WMI, infectando até mesmo máquinas atualizadas.
De acordo com o especialista, essas três funcionalidades já são nativas do Windows e suas vulnerabilidades já são conhecidas, assim como contê-las. “A novidade é a junção dessas três ferramentas, exploradas via Eternal Blue, para entregar um ransomware”, afirma.
Borges ainda explica que para conter o Petya/Non Petya bastam políticas de segurança bem estruturadas, aplicadas pelas próprias equipes de TI das empresas, que bloqueiam ou controlam o uso das funcionalidades descritas. Junta-se a isso softwares e sistemas atualizados, ferramentas de cibersegurança e um backup em rede segmentada para diminuir as vulnerabilidades.
“O que falta a maioria das empresas é a maturidade. Precisam entender que podem vir a ser alvo de ciberataques e que precisam estar prontas para lidar com eles, principalmente se forem grandes ou estiverem em segmentos críticos”, comenta Borges.
Paciente zero
O especialista também comentou sobre a origem do ataque. De acordo com informação divulgada pela Microsoft, o início do ransomware começou na Ucrânia, quando um fornecedor de software foi invadido por um hacker e começou a distribuir uma atualização maliciosa já com o novo Petya.
A única semelhança entre o Petya/Non Petya e o WannaCry, segundo Borges, se encontra no fato de serem um ransomware e se aproveitarem da mesma vulnerabilidade. “Mas não há qualquer ligação entre os ataques, aparentemente”, diz.
Cerca de dois mil ataques foram registrados pela Kaspersky Lab. Não se sabe quantas empresas foram atacadas no Brasil, mas uma das vítimas é o Hospital do Câncer de Barretos (SP), bloqueando o acesso a informações e impedindo que 350 pacientes fossem atendidos.