ESET descobre como começou ataque do novo Petya
O mundo, em especial a Europa, voltou hoje a ser vítima de um forte e nunca visto ataque informático. Há muitos pormenores que ainda não são conhecidos, mas sabe-se que a ação deste ransomware foi ainda mais forte que a do WannaCry.
Desde cedo que as empresas da área de segurança investigam esta nova ameaça global mas os investigadores da ESET já conseguiram descobrir onde tudo começou.
Este novo ransomware, que parece ser uma variante do Petya que no caso de conseguir infetar o Master Boot Record, acaba por encriptar todo o disco rígido, começou a propagar-se após os piratas informáticos terem conseguido comprometer o software de gestão M.E.Do, que é bastante usado por empresas ucranianas.
Pelas evidências (IoC's) que são partilhadas em várias fontes na Internet e como também foi divulgado pelos investigadores da ESET, estão a ser utilizados ataques que usam técnicas aproveitadas pelo recente caso Wannacry (vulnerabilidade no SMB), usam os e-mails com anexos maliciosos que recorrem a Powershell, utilização de ferramentas potencialmente perigosas (PsExec.exe) e outras técnicas para encriptação de ficheiros e discos.
Segundo a informação, o ataque foi feito através de um "update infetado", que permitiu assim lançar um ataque massivo à escala mundial.
ESET researchers have located the point from which this global epidemic has all started. Attackers have successfully compromised the accounting software M.E.Doc, popular across various industries in Ukraine, including financial institutions. Several of them executed a trojanized update of M.E.Doc, which allowed attackers to launch the massive ransomware campaign today which spread across the whole country and to the whole world. M.E.Doc has today released a warning on their website:http://www.me-doc.com.ua/vnimaniyu-polzovateley
De acordo com as últimas informações, a ESET alerta os utilizadores para não fazerem qualquer pagamento uma vez que a conta de e-mail usada pelos atacantes já foi bloqueada.
Segundo Nuno Mendes, CEO da WhiteHat - Representante em Portugal da ESET, em declarações ao Pplware:
Estamos novamente perante um repetido fenómeno de ciberataques massivos que centra as atenções no seu resultado final que é um ataque por ransomware, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate (na 'melhor' hipótese acontece a cifragem de ficheiros, sendo que no pior cenário todo o disco é cifrado).
Contudo, o que mais se destaca deste novo ataque é o recurso a técnicas usadas previamente noutro tipos de ataques que foram engenhosamente orquestrados para causar um efeito mais devastador nos sistemas.
Esta ou outra vaga de ataques pode ser potencialmente bloqueada de forma proactiva implementando uma solução de segurança anti-malware com proteção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas.
O Pplware continuará a acompanhar todas as informações relevantes sobre este ataque informático que já fez milhares de vítimas segundo alguns canais internacionais.
Leia também...
Este artigo tem mais de um ano
Proponha uma correção, faça uma sugestão
Loading ...
Pelos vistos já foi descoberta uma vacina. Basicamente consiste em criar um ficheiro chamado perfc na pasta c:/windows e torná-lo readonly. Fonte Bleeping Computer.
Será mesmo verdade isso? Será que previne mesmo?
José Rodrigues, eu percebo minimamente de “computadores” há uns anitos (mais de 30, sendo mais de 20 profissionalmente) e não posso deixar de achar prepotente esse último parágrafo. O José vale o seu peso em ouro na indústria de segurança do mundo inteiro! Parabéns!
Esse ataque para além de pc’s, pode causar danos as impressoras também? no meu trabalho, três deram problema ao mesmo tempo…
Em fabricantes que usem SMB v1 e não tenham patchs de firmware é bem possível, que são a grande maioria, que rir.. lol
Acredito que não, pq o ransomware ataca somente sistemas Microsoft Windows, explorando a vulnerabilide no SMB do sistema(Ms17-010), logo não ataca impressoras.
A via já entendi, mas onde (local)?
Aparentemente, para PREVENIR o ransomware #Petya basta criar um ficheiro na unidade “C:” em “C:\Windows”, designado “perfc” (sem extensão) Definir o atributo do ficheiro em seguida para +R. Notícia recebida via wired
Eu acho que para prevenir basta não abrir ficheiros de origem desconhecida.. Mas que percebo eu disso..
Basta atualizar o sistema para corrigir a vulnerabilidade MS17-010 no SMB, em seguida utilizar um bom antivírus, recomendo Kaspersky, e não sair executando arquivos desconhecidos.
Quando a evitar a propagação da rede e so criaro diretório perfc em C:/windows, pelo que pesquisei é apenas um Kill Switch para evitar a propagação na rede, mais se exeuctou o arquivo malicioso no pc ai ja era.
Com isso vai previnir o sistema de ser atacado pro esse Ransomware.
Para prevenir a propagação é que se instala o patch MS17-010…
Vasco, essa informação está na web mas no entanto a segurança tem de ir mais além. Se pensarmos bem, até entrar o próprio ransomware no sistema já antes entrou N malware por diferentes vectores (email, a aproveitar-se de vulnerabilidades do Office), trojans (que descarregam mais payload online), execução de comandos para fazer dumps de passwords de rede, entre muitos outras acções que permitam o ransomware/malware mover-se lateralmente numa rede.
Imagine-se apenas que é lançado um ataque massivo (ou mesmo que seja direccionado) e que não tenha a visibilidade que tem um ataque de ransomware… que seja silencioso/discreto mas que se infiltra da mesma forma que este se infiltra… mal comparado, será o mesmo que uma pessoa ter a sua casa assaltada sem vestígios disso e poder ter durante o dia um ‘hóspede’ em casa (a fazer sabe-se lá o quê) enquanto estamos ausentes.
A segurança tem de ser aplicada em todas as camadas e vectores possíveis.
Li algures e faz todo o sentido, que este tipo de ameaças propagam-se em sistemas em que estejam autenticados com conta ADMIN e só depois durante a propagação é que infectam outros equipamentos da rede mesmo sem autenticação ativa. É preocupante que certos relatos apontem para servidores ligados com esta particularidade e obviamente percebe-se o resto.