29 de junho de 2017
Nenhum Comentário
Hoje, outro grande “ransomworm” espalhou-se globalmente, infectando muitas organizações de usinas de energia para companhias de navegação. Chamada de Petya 2.0 ou NotPetya, este novo ransomware copia truques da WannaCry e outras variantes de Ransomware para aumentar a sua propagação. Em vez de apenas criptografar seus arquivos, ele realmente criptografa o Master Boot Record (MBR) do seu computador, tornando seu PC inoperável até você corrigi-lo. Assista ao vídeo abaixo para obter mais detalhes sobre o Petya 2.0, como ele se espalha e como você pode se proteger.
Se você seguiu as notícias hoje, provavelmente já viu relatórios de uma nova variante de ransomware espalhando-se por todo o globo. Petya 2.0 (também chamado de NotPetya por alguns pesquisadores) já fez vítimas em toda a Europa, Rússia e EUA. As vítimas conhecidas incluem Maersk, instalações de saúde em Pittsburgh e vários bancos na Ucrânia.
O Petya 2.0 funciona de forma semelhante ao seu primo, Petya original, visto no ano passado, criptografando o Master Boot Record (MBR) no computador da vítima em vez de arquivos individuais. Criptografar o MBR efetivamente bloqueia a vítima de seu computador completamente até que o resgate seja pago e uma chave de descriptografia seja inserida. Em vez de inicializar no Windows, o computador inicia uma nota de resgate instruindo a vítima para enviar $ 300 em Bitcoin para um endereço e, em seguida, enviar uma ID exclusiva ao invasor para receber uma chave de descriptografia.
Ao seguir a transação no endereço da carteira bitcoin do atacante, vemos vários milhares de dólares em resgate já pagos pelas vítimas na esperança de recuperar o acesso aos seus computadores. Infelizmente, o provedor de hospedagem de e-mail para o endereço usado na nota de resgate bloqueou a conta do invasor, o que significa que mesmo se uma vítima pagar o resgate, não há como receber sua chave de descriptografia.
O Petya 2.0 é distribuído principalmente usando um anexo de confirmação de falso pedido em um e-mail de phishing. Depois que ele infecta a vítima inicial, mas antes da criptografia, a Petya 2.0 explora as mesmas vulnerabilidades EternalBlue (MS17-010) como a variante do Ransomware WannaCry para se mover lateralmente através da rede da vítima e infectar outros sistemas. O Petya 2.0 também parece alavancar ferramentas legais do Windows PSExec e WMIC para infectar máquinas Windows que já estão corrigidas para as vulnerabilidades EternalBlue.
Os pesquisadores descobriram várias formas de potencialmente interromper o processo de criptografia MBR em um sistema infectado. Após a execução inicial, o Petya 2.0 programa uma reinicialização do sistema após 1 hora. Após a reinicialização, o Petya 2.0 interrompe o processo de inicialização do Windows e, em vez disso, carrega seu próprio código para criptografar o MBR. Se a vítima desligar um computador infectado antes que o processo de criptografia seja concluído, eles podem salvar o MBR, permitindo que seja feito backup de arquivos em um sistema diferente antes de limpar o computador infectado.
Além disso, os pesquisadores descobriram um potencial interruptor dentro do Petya 2.0. Durante a execução do Petya 2.0, ele verifica a existência de um arquivo “C: \ Windows \ perfc” (sem extensão de arquivo). Se o arquivo existe, a execução é interrompida. Um administrador pode criar um arquivo nesse local para evitar que o Petya 2.0 seja executado e criptografando seu sistema.
O Petya 2.0 destaca ainda a necessidade de manter os sistemas corrigidos com as atualizações de segurança mais recentes. Além disso, as empresas devem garantir que seus funcionários sejam educados na localização de e-mails de phishing para evitar que o Petya 2.0 e outros ransomware ganhem suporte nas suas redes.
A recente série de ataques de ransomware, incluindo Petya 2.0 e WannaCry, traz à tona o quão crítica é a adoção de uma abordagem em camadas à segurança. Por exemplo, como o nosso Q1 Internet Security Report apontou, 38% dos malwares passam por AV herdado, é por isso que serviços como IPS, sandboxing e detecção e resposta são tão críticos. Nenhuma solução única irá fornecer cobertura 100%. Como evidenciado, os clientes do WatchGuard aproveitando o Total Security Suite foram protegidos tanto do WannaCry quanto do Petya 2.0, mas ambos os ataques foram bloqueados usando uma combinação de serviços diferente.
Para obter mais informações sobre como o WatchGuard bloqueou esse ataque e outras dicas sobre a prevenção de infecções por Petya 2.0. Os clientes do WatchGuard devem ver nosso artigo da Base de Conhecimento da Petya 2.0.
-Marc Laliberte
Via Secplicity