07/07/2017
Recentemente, um surto global de Ransomware atingiu inúmeras empresas do segmento financeiro na Europa, interrompendo infraestruturas básicas, como o funcionamento das redes de energia e de sistemas operacionais, ofensiva que desperta atenção novamente para a magnitude desta ameaça.
Uma análise prévia demonstra que o ataque do vírus Petya é uma evolução do malware WannaCry, um mês após a ofensiva atingir empresas e órgãos públicos em todo o mundo. Como seu antecessor, o NotPetya se baseou nas vulnerabilidades do protocolo SMB (Server Message Block), ao mesmo tempo em que criptografou o host Master Boot Record (MBR). Em outras palavras, o Ransomware se aproveitou da vulnerabilidade do processo da SMB, geralmente utilizado para compartilhar arquivos, para desferir o ataque.
Além disso, por se tratar de uma evolução do vírus anterior, o NotPetya se difere em uma escala avançada:
• Petya utiliza ferramentas que extraem as credenciais do Windows, ou seja, os nomes e senhas dos usuários que estão na memória dos computadores infectados;
• Wannacry cifrava somente os arquivos do disco, mas o Petya além de cifrar os arquivos do disco, também ataca o registro de inicialização do Windows. Caso o computador reinicie, a vítima recebe uma mensagem dizendo que seus dados foram sequestrados e que tem que pagar para recuperá-los.
A ameaça foi desenvolvida para atacar especificamente as máquinas operadas com Windows, de acordo com as vulnerabilidades deste sistema. Neste cenário, a forma mais eficaz de proteção se baseia em instalar patches de segurança que impedem a propagação dos ataques. Isso porque o malware foi desenvolvido para se propagar automaticamente em redes desprotegidas e onde não existem atualizações.