O mundo, em especial a Europa, voltou hoje a ser vítima de um forte e nunca visto ataque informático. Há muitos pormenores que ainda não são conhecidos, mas sabe-se que a ação deste ransomware foi ainda mais forte que a do WannaCry.
Desde cedo que as empresas da área de segurança investigam esta nova ameaça global mas os investigadores da ESET já conseguiram descobrir onde tudo começou.
Este novo ransomware, que parece ser uma variante do Petya que no caso de conseguir infetar o Master Boot Record, acaba por encriptar todo o disco rígido, começou a propagar-se após os piratas informáticos terem conseguido comprometer o software de gestão M.E.Do, que é bastante usado por empresas ucranianas.
Pelas evidências (IoC’s) que são partilhadas em várias fontes na Internet e como também foi divulgado pelos investigadores da ESET, estão a ser utilizados ataques que usam técnicas aproveitadas pelo recente caso Wannacry (vulnerabilidade no SMB), usam os e-mails com anexos maliciosos que recorrem a Powershell, utilização de ferramentas potencialmente perigosas (PsExec.exe) e outras técnicas para encriptação de ficheiros e discos.
Segundo a informação, o ataque foi feito através de um “update infetado”, que permitiu assim lançar um ataque massivo à escala mundial.
ESET researchers have located the point from which this global epidemic has all started. Attackers have successfully compromised the accounting software M.E.Doc, popular across various industries in Ukraine, including financial institutions. Several of them executed a trojanized update of M.E.Doc, which allowed attackers to launch the massive ransomware campaign today which spread across the whole country and to the whole world. M.E.Doc has today released a warning on their website:http://www.me-doc.com.ua/vnimaniyu-polzovateley
De acordo com as últimas informações, a ESET alerta os utilizadores para não fazerem qualquer pagamento uma vez que a conta de e-mail usada pelos atacantes já foi bloqueada.
Segundo Nuno Mendes, CEO da WhiteHat – Representante em Portugal da ESET, em declarações ao Pplware:
Estamos novamente perante um repetido fenómeno de ciberataques massivos que centra as atenções no seu resultado final que é um ataque por ransomware, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate (na ‘melhor’ hipótese acontece a cifragem de ficheiros, sendo que no pior cenário todo o disco é cifrado).
Contudo, o que mais se destaca deste novo ataque é o recurso a técnicas usadas previamente noutro tipos de ataques que foram engenhosamente orquestrados para causar um efeito mais devastador nos sistemas.
Esta ou outra vaga de ataques pode ser potencialmente bloqueada de forma proactiva implementando uma solução de segurança anti-malware com proteção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas.
O Pplware continuará a acompanhar todas as informações relevantes sobre este ataque informático que já fez milhares de vítimas segundo alguns canais internacionais.