Provedor desabilita email de hackers e vítimas ficam sem contato para recuperar arquivos

O Posteo, provedor de emails baseado em Berlin, na Alemanha, desabilitou o email utilizado pelos hackers do ransomware NotPetya

Outro grande ciberataque está se espalhando rapidamente pela Europa e já infectou alguns sistemas nos Estados Unidos, bem como no Brasil. Pesquisadores da Symantec e outras grandes empresas de segurança confirmam que o ransomware Petya está sendo espalhado pela EternalBlue, uma brecha vazada em abril pelo grupo hacker ShadowBrokers, que aparentemente roubou informações da Agência de Segurança Nacional dos Estados Unidos (NSA).

whatsapp invite banner

• Ransomware NotPetya: os possíveis desdobramentos geopolíticos de mais um ataque cibernético
• A melhor forma de se proteger de ransomwares é com um sólido sistema de backup

O Posteo, provedor de emails baseado em Berlin, na Alemanha, publicou um comunicado dizendo que bloquearam o endereço de email que supostamente estava sendo utilizando pelos invasores – o que significa que as vítimas não possuem mais uma maneira de entrar em contato com os hackers e tentar descriptografar seus computadores, mesmo depois de pagar pelo resgate. “Não toleramos nenhum uso indevido da nossa plataforma: o bloqueio intermitente de caixas de emails abusivas é um procedimento normal dos provedores nesses casos”, disse a companhia.

“O caminho para o inferno está cheio de boas intenções. Sim, isso é exatamente sobre a Posteo

Como não há nenhuma outra maneira de comunicação oferecida pelos invasores, não existe mais nenhuma razão para pagar pelo resgate.

“Isso vai ser interessante”, disse Jason Truppi, diretor da empresa de segurança Tanium. “Na verdade isso cria uma conversação interessante: Qual é a obrigação de um provedor em manter a coisa funcionando, certo? É melhor manter e permitir que as pessoas consigam obter seus arquivos de volta – ou é melhor desativar a conta e impedir invasores futuros de achar que vão conseguir dinheiro com isso. Eu acho que é melhor manter funcionando, para ser honesto”.

Enquanto grandes empresas lidam com essas ameaças diariamente, diz Truppi, pequenos e médios negócios que foram afetadas agora são mais vulneráveis. “Essas são as pessoas mais preocupadas porque querem entrar em contato com os caras que estão com seus arquivos e querem um resgate, e elas vão querer pagar. Quaisquer que sejam os arquivos que tenham perdido, podem ser elementos vitais das empresas”.

Os ataques desta terça-feira (27) foram relatados inicialmente na Ucrânia, afetando bancos, a empresa de energia Ukrenergo e o principal aeroporto de Kiev, capital do país. Depois, o ransomware se espalhou para a Europa Ocidental, Estados Unidos, Brasil, entre outros países. O malware solicita US$ 300 de resgate para cada computador infectado, assim o registro mestre de inicialização do sistema seria descriptografado. No entanto, o ransomware parece ser capaz de criptografar arquivos individuais, após a reinicialização.

Se a máquina reiniciar e você ver essa mensagem, desligue imediatamente! Esse é um processo de criptografia. Se você não ligar o computador, os arquivos são preservados.

Pesquisas sobre a distribuição desse malware em particular e o compartilhamento de informações sobre sua origem e seu vetor foram caóticas durante a manhã dessa terça-feira. Relatos iniciais sugeriam que se trata de uma variação de um ransomware conhecido como Petya, que se originou no começo de 2016 e infectou milhares de computadores no começo desse ano por meio de phishing por email contendo um link malicioso do Dropbox. O Petya afirmava falsamente uma criptografia completa do disco do computador, de acordo com a MalwareByte Labs.

Rumores também circularam afirmando que o grande ataque estava tirando proveito da vulnerabilidade que a Microsoft descobriu em abril, conhecida como CVE-2017-0199; no entanto, diversos pesquisadores disseram ao Gizmodo que não encontraram nenhuma evidência sobre isso. A AlienVault Labs atribuiu a confusão ao ataque simultâneo que ocorreu na Ucrânia envolvendo um malware conhecido como Loki. “Não encontramos nenhuma evidência de que o Petya utiliza a brecha CVE-2017-0199 até agora. Estamos procurando ativamente por isso”, disse o pesquisador Fabian Wosar, da Emsisoft.

O especialista em segurança Aleks Gostev também disse ao Gizmodo por meio do Twitter que a Kaspersky Lab não encontrou evidências de que a brecha CVE-2017-0199 tenha sido explorada. A Kaspersky publicou um comunicado afirmando que o ransomware desta terça, na verdade, não era uma variante do Petya. Para espalhar a informação, a companhia batizou o ransomware de “NotPetya”.

“Os dados de telemetria da empresa indicam cerca de dois mil usuários atacados até agora, disse a empresa russa de cibersegurança. “Organizações na Rússia e na Ucrânia são as mais afetadas, e também registramos casos na Polônia, Itália, Reino Unido, Alemanha, França, Estados Unidos e diversos outros países”.

“Sistemas a nível global permanecem altamente vulneráveis e correções específicas irão servir apenas para perpetuar ataques baseados na próxima vulnerabilidade, daquilo que agora é praticamente uma lista de erros de segurança que cresce exponencialmente”, diz Mike Ahmadi, diretor global da Synopsys Software Integrity Group. “A menos que o gerenciamento de vulnerabilidades e exigências legais sejam feitas, podemos esperar ver ataques maiores e mais sofisticados. Se permanecer como hoje, provavelmente vão levar décadas para nos livrarmos desse poço quase sem fundo de códigos vulneráveis que compõem nossa infra-estrutura”.

Colaborou: Kate Conger

Imagem do topo: Getty

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas