Outro grande ciberataque está se espalhando rapidamente pela Europa e já infectou alguns sistemas nos Estados Unidos, bem como no Brasil. Pesquisadores da Symantec e outras grandes empresas de segurança confirmam que o ransomware Petya está sendo espalhado pela EternalBlue, uma brecha vazada em abril pelo grupo hacker ShadowBrokers, que aparentemente roubou informações da Agência de Segurança Nacional dos Estados Unidos (NSA).
• Ransomware NotPetya: os possíveis desdobramentos geopolíticos de mais um ataque cibernético
• A melhor forma de se proteger de ransomwares é com um sólido sistema de backup
O Posteo, provedor de emails baseado em Berlin, na Alemanha, publicou um comunicado dizendo que bloquearam o endereço de email que supostamente estava sendo utilizando pelos invasores – o que significa que as vítimas não possuem mais uma maneira de entrar em contato com os hackers e tentar descriptografar seus computadores, mesmo depois de pagar pelo resgate. “Não toleramos nenhum uso indevido da nossa plataforma: o bloqueio intermitente de caixas de emails abusivas é um procedimento normal dos provedores nesses casos”, disse a companhia.
"The road to hell is paved with good intentions" – this is exactly about Posteo https://t.co/mZzaccDEbi
— codelancer (@codelancer) 27 de junho de 2017
“O caminho para o inferno está cheio de boas intenções. Sim, isso é exatamente sobre a Posteo
Como não há nenhuma outra maneira de comunicação oferecida pelos invasores, não existe mais nenhuma razão para pagar pelo resgate.
“Isso vai ser interessante”, disse Jason Truppi, diretor da empresa de segurança Tanium. “Na verdade isso cria uma conversação interessante: Qual é a obrigação de um provedor em manter a coisa funcionando, certo? É melhor manter e permitir que as pessoas consigam obter seus arquivos de volta – ou é melhor desativar a conta e impedir invasores futuros de achar que vão conseguir dinheiro com isso. Eu acho que é melhor manter funcionando, para ser honesto”.
Do not pay the #Petya ransom. You will not get your files back. The email address used is blocked! @SwiftOnSecurity @thegrugq pic.twitter.com/NOzxLz0vul
— haveibeencompromised (@HIBC2017) 27 de junho de 2017
Enquanto grandes empresas lidam com essas ameaças diariamente, diz Truppi, pequenos e médios negócios que foram afetadas agora são mais vulneráveis. “Essas são as pessoas mais preocupadas porque querem entrar em contato com os caras que estão com seus arquivos e querem um resgate, e elas vão querer pagar. Quaisquer que sejam os arquivos que tenham perdido, podem ser elementos vitais das empresas”.
Os ataques desta terça-feira (27) foram relatados inicialmente na Ucrânia, afetando bancos, a empresa de energia Ukrenergo e o principal aeroporto de Kiev, capital do país. Depois, o ransomware se espalhou para a Europa Ocidental, Estados Unidos, Brasil, entre outros países. O malware solicita US$ 300 de resgate para cada computador infectado, assim o registro mestre de inicialização do sistema seria descriptografado. No entanto, o ransomware parece ser capaz de criptografar arquivos individuais, após a reinicialização.
If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6
— Hacker Fantastic (@hackerfantastic) 27 de junho de 2017
Se a máquina reiniciar e você ver essa mensagem, desligue imediatamente! Esse é um processo de criptografia. Se você não ligar o computador, os arquivos são preservados.
Pesquisas sobre a distribuição desse malware em particular e o compartilhamento de informações sobre sua origem e seu vetor foram caóticas durante a manhã dessa terça-feira. Relatos iniciais sugeriam que se trata de uma variação de um ransomware conhecido como Petya, que se originou no começo de 2016 e infectou milhares de computadores no começo desse ano por meio de phishing por email contendo um link malicioso do Dropbox. O Petya afirmava falsamente uma criptografia completa do disco do computador, de acordo com a MalwareByte Labs.
Rumores também circularam afirmando que o grande ataque estava tirando proveito da vulnerabilidade que a Microsoft descobriu em abril, conhecida como CVE-2017-0199; no entanto, diversos pesquisadores disseram ao Gizmodo que não encontraram nenhuma evidência sobre isso. A AlienVault Labs atribuiu a confusão ao ataque simultâneo que ocorreu na Ucrânia envolvendo um malware conhecido como Loki. “Não encontramos nenhuma evidência de que o Petya utiliza a brecha CVE-2017-0199 até agora. Estamos procurando ativamente por isso”, disse o pesquisador Fabian Wosar, da Emsisoft.
Супермаркет в Харькове pic.twitter.com/H80FFbzSOj
— Mikhail Golub (@golub) 27 de junho de 2017
O especialista em segurança Aleks Gostev também disse ao Gizmodo por meio do Twitter que a Kaspersky Lab não encontrou evidências de que a brecha CVE-2017-0199 tenha sido explorada. A Kaspersky publicou um comunicado afirmando que o ransomware desta terça, na verdade, não era uma variante do Petya. Para espalhar a informação, a companhia batizou o ransomware de “NotPetya”.
“Os dados de telemetria da empresa indicam cerca de dois mil usuários atacados até agora, disse a empresa russa de cibersegurança. “Organizações na Rússia e na Ucrânia são as mais afetadas, e também registramos casos na Polônia, Itália, Reino Unido, Alemanha, França, Estados Unidos e diversos outros países”.
“Sistemas a nível global permanecem altamente vulneráveis e correções específicas irão servir apenas para perpetuar ataques baseados na próxima vulnerabilidade, daquilo que agora é praticamente uma lista de erros de segurança que cresce exponencialmente”, diz Mike Ahmadi, diretor global da Synopsys Software Integrity Group. “A menos que o gerenciamento de vulnerabilidades e exigências legais sejam feitas, podemos esperar ver ataques maiores e mais sofisticados. Se permanecer como hoje, provavelmente vão levar décadas para nos livrarmos desse poço quase sem fundo de códigos vulneráveis que compõem nossa infra-estrutura”.
Colaborou: Kate Conger
Imagem do topo: Getty