Ataque cibernético ‘Petya’ tem como alvo ‘todo mundo’: como se proteger

"Quem está sendo alvo e por quê? A resposta é todo mundo."


O ataque cibernético 'Petya' está afetando grandes empresas ao redor do mundo.


O ransomware, que está sendo comparado ao WannaCry, que aleijou o NHS em maio, inicialmente atacou empresas na Ucrânia, mas se espalhou para mais países, incluindo a Rússia e o Reino Unido.

Está bloqueando os usuários de seus computadores, e exigindo um pagamento de US $ 300 em Bitcoin deles. No entanto, sugerimos não pagar o resgate, pois isso poderia incentivar ataques semelhantes no futuro. Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record. O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.


Como o Petya se espalha


Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques. Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica. Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outras bases Windows e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.


O que o Petya faz


Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em cinco etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgate dos arquivos e da máquina

5 – Quando a MFT é criptografado, o usuário ou servidor é mantido off-line até o pagamento do resgate.


Como prevenir um ataque do Petya


Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

1 – Desativar SMBv1 durante atualizações Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível).

2 – Aplicar todas as atualizações!


Estas são as empresas e organizações que confirmaram que foram afetadas pelo ataque de Petya.


Rio Rosneft

O principal produtor de petróleo da Rússia, Rosneft, disse que seus servidores foram atingidos por um ataque cibernético em larga escala, mas sua produção de petróleo não foi afetada.


A.P. Moller-Maersk

A gigante dinamarquesa de transportes A.P. Moller-Maersk, que lida com um em cada sete contêineres enviados globalmente, disse que um ataque cibernético causou paralisações em seus sistemas de computador em todo o mundo.

A operadora portuária da Maersk, APM Terminals, também foi atingida. A emissora holandesa RTV Rijnmond informou que 17 terminais de contêineres de transporte administrados pela APM Terminals foram hackeados, incluindo dois em Roterdã e 15 em outras partes do mundo.


WPP

A WPP britânica, a maior empresa de publicidade do mundo, disse que sistemas de computador dentro de várias de suas agências foram atingidos por um suposto ataque cibernético.


Merck & Co.

A empresa farmacêutica Merck & Co. disse em um tweet que sua rede de computadores foi comprometida como parte de um hack global.


Bancos Russos

O banco central da Rússia disse que houve "ataques de computador" aos bancos russos e que, em casos isolados, seus sistemas de TI foram infectados.

Todas as filiais russas do credor de crédito doméstico estão fechadas por causa de um ataque cibernético, disse um funcionário de um call center de crédito residencial na Rússia.


Bancos Ucranianos, Rede elétrica

Vários bancos e empresas ucranianas, incluindo o distribuidor de energia estatal, foram atingidos por um ataque cibernético que interrompeu algumas operações, disse o banco central ucraniano.


Aeroporto Internacional ucraniano

Yevhen Dykhne, diretor do aeroporto de Boryspil, disse que foi atingido. "Em relação à situação irregular, alguns atrasos de voo são possíveis", disse Dykhne em um post no Facebook.


Saint Gobain

A empresa francesa de materiais de construção Saint Gobain disse ter sido vítima de um ataque cibernético, e que isolou seus sistemas de computador para proteger dados.


Deutsche Post

A empresa alemã de correios e logística Deutsche Post disse que os sistemas de sua divisão Express na Ucrânia foram, em parte, afetados por um ataque cibernético.


Metro

O metrô alemão disse que suas lojas atacadistas na Ucrânia foram atingidas por um ataque cibernético e que o varejista estava avaliando o impacto.


Mondelez International

A empresa de alimentos Mondelez International disse que funcionários de diferentes regiões estavam enfrentando problemas técnicos, mas não estava claro se isso era devido a um ataque cibernético.


Evraz

O siderúrgico russo Evraz disse que seus sistemas de informação foram atingidos por um ataque cibernético, mas sua produção não foi afetada.


Noruega

Um ataque cibernético de ransomware está ocorrendo na Noruega e está afetando uma empresa internacional não nomeada, diz a autoridade de segurança nacional do país nórdico.

Scroll to Top