book_icon

Petya Ransoware se espalha na Europa e pelo mundo

O blog da Palo Alto Networks, Unit 42, oferece uma atualização sobre o ataque que está afetando até o momento organizações da Ucrânia, partes da Europa e segue em expansão

A Palo Alto Networks, especializada em cibersegurança corporativa, divulgou hoje em seu blog, Unit 42, informações sobre uma nova variante do malware Petya que está se espalhando pelo protocolo SMB do Microsoft Windows. Segundo indícios, o malware utiliza a ferramenta de exploração ETERNALBLUE para realizar isso. Este é o mesmo caminho do malware Wanna Cry que se espalhou globalmente em maio de 2017. Muitas organizações relataram interrupções de rede, incluindo o governo e os operadores de infraestrutura crítica. O ataque foi detectado, até o momento, na Ucrânia, em outras partes da Europa e segue em expansão.

De acordo com a Palo Alto Networks os usuários do Windows devem seguir as seguintes etapas gerais para se protegerem:
• Aplicar atualizações de segurança no MS17-010
• Bloquear conexões de entrada na porta TCP 445
• Criar e manter bons backups para que, se ocorrer uma infecção, você possa restaurar seus dados.

Visão geral do ataque
Petya é parte da família de ransomware que funciona modificando o Registro de Inicialização Mestre (MBR) do sistema Windows, fazendo com que o sistema falhe. Quando o usuário reinicia seu PC, o MBR modificado impede que o Windows seja carregado e, em vez disso, exibe uma nota ASCII Ransom exigindo o pagamento da vítima.

A versão mais recente do Petya ransomware está se espalhando por meio do Windows SMB e está usando a ferramenta de exploração ETERNALBLUE, que explora o CVE-2017-0144 e foi originalmente lançada pelo grupo Shadow Brokers em abril de 2017.

Depois que o sistema é comprometido, a vítima é convidada a enviar 300 dólares para um endereço Bitcoin específico e, em seguida, encaminhar um e-mail com o ID da carteira de bitcoin da vítima para wowsmith123456@posteo[.]Net para recuperar sua chave de descriptografia individual. Cerca de 13 pagamentos já tinham sido feitos.

Os ataques de Ransomware são muito comuns, mas raramente são combinados com uma exploração que permite que o malware se espalhe como uma contaminação de rede. Os ataques WannaCry em maio de 2017 demonstraram que muitos sistemas Windows não foram corrigidos por essa vulnerabilidade. A disseminação do Petya usando essa vulnerabilidade indica que muitas organizações ainda podem estar vulneráveis, apesar da atenção recebida devido ao WannaCry.

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.