Categorias

Ataque maciço de ransomware afetou diversos países

Em questão de horas, essa terça-feira testemunhou uma quase reprise do ataque maciço do WannaCry: um novo ransomware ainda não completamente identificado derrubou bancos, empresas, órgãos governamentais e outras redes em diversos países.

O ataque afetou as operações de monitoramento de radiação ao redor da usina nuclear de Chernobyl, paralisou hospitais nos EUA e no Reino Unido e teria chegado também ao Hospital do Câncer de Barretos, no Brasil.

Os relatos iniciais da epidemia indicam uma possível origem na Ucrânia, mas o vírus se espalhou por vários continentes. Segundo a BitDefender, trata-se de uma variante do agressivo ransomware Petya, que explora as mesmas vulnerabilidades do Windows vazadas da NSA e utilizadas anteriormente pelo WannaCry. A Kaspersky, entretanto, contesta que possa se tratar de um novo Petya e batizou a ameaça de NotPetya.

Aparentemente, o vírus não utiliza somente a vulnerabilidade conhecida como Eternal Blue, descoberta há anos pela agência de espionagem norte-americana e divulgada publicamente pelo Shadow Brokers. Pesquisadores de segurança indicam que o ransomware também explora a falha de segurança chamada Eternal Romance, que afeta do Windows XP ao Windows Server 2008 e também mantida em segrego pela NSA e vazada posteriormente. Além disso, o ataque também se aproveita do sistema de atualização do software ucraniano MeDoc.

Na maioria absoluta dos casos, a contaminação poderia ter sido evitada: as vulnerabilidades exploradas tem correções oficiais disponíveis desde Março deste ano, publicadas pela Microsoft e o ataque do WannaCry em Maio deveria ter servido de lição para empresas, organizações e usuários reforçarem a segurança de seus sistemas.

Especialistas de segurança identificaram que o vírus aguarda até 60 minutos após a infecção para iniciar o processo de encriptação. A partir deste momento, o sistema reinicia e uma falsa tela de CHKDISK camufla a ação do ransomware. A recomendação é que o computador seja imediatamente desligado em caso de suspeita de contaminação, para permitir a recuperação de arquivos a partir de outro disco de inicialização.

Ainda não se sabe qual é a identidade do autor do novo ransomware. A observação da conta de bitcoin associado ao vírus aponta que o ataque, por mais catastrófico que tenha sido ao redor do globo, teria rendido menos de US$8.000 ao seu criador. A única conta de email utilizada pelo cibercriminoso para enviar a chave de liberação dos arquivos encriptados foi cancelada. Com o alto nível de criptografia empregado pelo malware, uma vez concluído o sequestro, as chances das vítimas de recuperarem seus arquivos são próximas de zero agora.