Publicada em 27 de junho
No início da tarde desta terça-feira (27), mais uma vez, empresas de vários países do mundo foram infectadas por ransomwares. Desta vez, uma nova variante do ransomware Petya, chamada de Petwrap, que, assim como o WannaCry, tira proveito de uma vulnerabilidade no Windows.
Para o CEO da iBLISS Digital Security, Leonardo Militelli, a nova onda de ataques mostra que muitas empresas ainda não aprenderam a importância de contar com processos consistentes de segurança da informação, especialmente quando o assunto é a atualização de sistemas.
O gerente sênior de cibersegurança da EY, Luiz Milagres, concorda. "O principal aliado de um criminoso cibernético é a complacência. Seja uma grande multinacional ou uma empresa familiar, o sucesso de um ataque está associado às pessoas, tecnologias e procedimentos preventivos que são adotados e seguidos para reduzir o risco de sucesso dos invasores nestes cenários", diz.
E alerta que os ataques de hoje provam que os cibercriminosos estão se tornando mais agressivos e sofisticados visando simultaneamente o maior número de organizações, afirma Luiz Milagres, gerente sênior de cibersegurança da EY.
Características do ataque
O Petya vai além dos ransomwares tradicionais, pois criptografa, de uma só vez, partes inteiras do HD, impedindo que o usuário acesse até mesmo o Windows. Então exibe uma mensagem para explicar à vítima que seus arquivos estão criptografados e pede o pagamento de US$ 300 em bitcoins.
Ele tira proveito da mesma vulnerabilidade que o WannaCry usou, em maio de 2017, para infectar mais de 300 mil sistemas e servidores ao redor do mundo em apenas 72 horas, conhecida como Eternal Blue. A falha de segurança foi descoberta pela NSA e vazada por um grupo hacker conhecido como The Shadow Brokers.
De acordo com o professor Kevin Curran, membro sênior do IEEE e professor na Universidade de Ulster, o Petya lança mão de um certificado falso que geralmente é usado como uma ferramenta interna na Microsoft. Tem uma carga útil chamada PetyaWrap, que mantém o refém de dados até que os usuários paguem US $ 300 em Bitcoin. A segunda carga útil extrai nomes de usuário e senhas de computadores comprometidos e envia os dados para os atacantes. Isso garante que, enquanto um computador infectado for inoperável devido ao ransomware, os invasores ainda podem ter acesso a qualquer credencial sensível no sistema.
Uma diferença fundamental do WannaCry é que o Petya não simplesmente criptografa arquivos de disco, mas bloqueia o disco inteiro para que nada possa ser executado. Ele faz isso criptografando a tabela de arquivos mestre do sistema de arquivos para que o sistema operacional não possa recuperar arquivos.
Mas parece ter a mesma característica de replicação mortal do WannaCry, que permite que ele se espalhe rapidamente por uma rede interna infectando outras máquinas. Parece também encontrar senhas em cada computador infectado e usar aqueles para se espalhar também. Parece não haver nenhum interruptor de matar nesta ocasião.
O núcleo da vulnerabilidade reside em uma fraqueza na implementação do Server Message Block (SMB), que é o protocolo de transporte usado pelas máquinas Windows para uma ampla variedade de propósitos, como compartilhamento de arquivos e impressoras e acesso a serviços remotos do Windows. O ataque usa a versão SMB 1 e a porta TCP 445 para se propagar.
A característica mais assustadora e poderosa deste malware é a capacidade de executar varreduras de rede na porta TCP 445 (SMB) e comprometer outras máquinas. O resultado é a criptografia de arquivos e a demanda de um pagamento de resgate na forma de Bitcoin. Ele também instala um backdoor persistente para acessar e executar o código em sistemas previamente comprometidos. Isso permite a instalação e ativação de software adicional, como o malware. Este novo ataque também está usando a ferramenta PsExec para espalhar a infecção executando códigos maliciosos em outros computadores.
"Este ataque possui uma tática diferente dos anteriores. Nas outras versões do ransomware, conforme pode-se perceber, havia o relógio em contagem regressiva ou uma remoção gradual de arquivos. Normalmente a maior perda eram os dados. No entanto, no caso do Petya, que altera o Master Boot Record, o risco é perder todo o sistema. Além disso, o sistema é reiniciado em um ciclo de uma hora, adicionando um outro elemento de negação de serviço ao ataque", explica Aamir Lakhani, estrategista sênior de Segurança da Fortinet.
Curiosamente, além das vulnerabilidades do Microsoft Office, o Petya usa o mesmo vetor de ataque que o WannaCry, explorando as mesmas vulnerabilidades da Microsoft que foram descobertas pelo Shadow Brokers no início deste ano. "Porém, como foram usados vetores de ataque adicionais nesta exploração, somente a correção não teria sido adequada para interromper esta exploração por completo, isso significa que a correção deve ser combinada com boas ferramentas e práticas de segurança. Os clientes da Fortinet, por exemplo, estão protegidos de todos os vetores de ataque, pois foram detectados e bloqueados pelas nossas soluções ATP, IPS e NGFW. Além disso, nossa equipe de AV emitiu uma nova assinatura de antivírus algumas horas após a descoberta para melhorar a defesa", escreve Lakhani em artigo distribuído para a imprensa.
O especialista da Fortinet lembra ainda que, de uma perspectiva financeira, o vírus Wannacry não teve muito sucesso. Gerou muito pouca receita para seus desenvolvedores, em parte porque os pesquisadores conseguiram interromper e desativar o ataque. Porém, o ataque do vírus Petya é muito mais sofisticado, embora ainda não se saiba se terá mais sucesso em termos financeiros que o ataque anterior.
Como se defender
Apesar de a Microsoft já ter liberado um correção para o problema em todas as versões do Windows, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.
“O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos”, explica Militelli.
“A falta de processos está fazendo novas vítimas. Enquanto as empresas não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas”, explica.
Especialistas de cibersegurança da Ernst & Young orientam as empresas em todo o mundo a tomarem medidas imediatas para prevenção e mitigação do efeito desses crimes.
De acordo com eles, há seis medidas que as organizações podem tomar imediatamente para ajudar a proteger seus dados e sistemas – os ativos mais valiosos e de seus clientes - ao mesmo tempo em que minimizam os possíveis danos causados por outras ameaças:
1 - Desconecte as máquinas infectadas da rede e segregue as máquinas de backup porque também podem ficar criptografados se forem conectados à rede.
2 - Ative seu plano de resposta a incidentes e não trate a investigação como um mero problema ou exercício de TI. Reúna um time multifuncional na equipe de investigação, incluindo jurídico, compliance, segurança da informação, administrativo, relações públicas, recursos humanos e outros departamentos relevantes.
3 – Identifique as vulnerabilidades em seu sistema. Instale atualizações de segurança, detecção de malwares e detecção de vírus para dificultar recorrências e melhorar as ferramentas de detecção e resposta para futuros ataques.
4 - Certifique-se de que seus sistemas estejam corrigidos antes de reconectar os computadores. Mantenha os sistemas atualizados com um programa de gerenciamento de vulnerabilidades de alto nível. Isso deve incluir um ciclo de repetições para gerenciar vulnerabilidades com base em riscos à medida que eles evoluem e um modelo de amplo e atualizado de inventario, pontuando o nível de risco de aposição de cada item e sua conectividade com outros dispositivos.
5 – Ative o plano de continuidade do negócio. Utilize como base os requisitos necessários para relatórios regulatórios, reivindicação de seguros e disputas, litígios, inteligência de ameaças e/ou notificação de clientes.
6 – Colete e preserve as evidências, seguindo o rigor forense necessário, de maneira possam ser usadas em uma investigação.
"O sequestro de dados exige um plano de contingência e de resposta rápido. Mesmo depois que os dados são restaurados, as empresas às vezes enfrentam problemas na recuperação de informações sensíveis que foram comprometidas no ataque. Clientes, fornecedores e demais stakeholders podem exigir que a empresa demonstre de forma forense que, mesmo que os dados tenham sido acessados, nada foi perdido por completo”, alerta Sergio Kogan, gerente sênior de cibersegurança da EY.
Observar a cibersegurança como prioridade do negócio, auxilia na mitigação dos riscos das empresas no ambiente digital, permitindo conhecer o nível de exposição e riscos associados e facilitar a tomada de decisão dos executivos.
“Para prevenção e segurança dos dados é recomendável que as empresas redobrem a atenção para a criação de processos maduros, principalmente para gestão de vulnerabilidade, gestão de mudança e gestão de patches, incluindo uma revisão de processos e políticas de backup, resposta a incidentes, e continuidade de negócio, além de identificar os ativos mais importantes da empresa e monitorar de forma proativa com a realização de testes do programa de segurança com exercícios de Red Team e/ou testes de invasão. Realize um monitoramento tempestivo de infraestrutura crítica ao negócio e planos de conscientização junto aos colaboradores e faça uma gestão estratégica de cibersegurança, com processos, pessoas e tecnologias”, conclui Demétrio Carrión, sócio de cibersegurança da EY.
Pesquisa recente da EY mostra que a vulnerabilidade das empresas brasileiras é grande. A maioria não possui um programa formal de inteligência contra ameaças (81%) e não dispõem de um centro de operações de segurança (63%). Quase a metade delas já teve um incidente cibernético no ano passado (45%), mas apenas 28% aumentaram seus orçamentos no último ano.
Principais impactos do ataque
Até o momento, o país mais afetado pela onda de ataques do ransomware Petya foi a Ucrânia, que teve sistemas de bancos, de metrô e do aeroporto de Kiev comprometidos. Entre as empresas afetadas no país estão as fornecedoras de energia elétrica Kyivenergo e Ukrenergo, o National Bank of Ukraine (NBU), Oschadbank, e as organizações do setor de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A ameaça também impactou múltiplas estações de trabalho da unidade ucraniana da empresa de mineração Evraz.
O ransomware também afetou fornecedores de energia elétrica e bancos em países como Rússia, Espanha, Reino Unido e Índia, incluindo a gigante petrolífera russa Rosneft e a empresa internacional de logística Maersk.
Outras companhias que disseram ter sido afetadas por um ataque cibernético incluem a gigante de metais russa Evraz, a empresa de materiais de construção francesa Saint Gobain, a gigante do transporte A.P. Moeller-Maersk, a gigante farmacêutica Merck & Co. e a empresa petrolífera russa Pao Rosneft relataram ataques aos seus sistemas nesta terça-feira. A agência de publicidade britânica WPP disse que seus sistemas de TI também foram interrompidos como consequência do mega-ataque. Além disso, a usina nuclear de Chernobyl também relatou que teve que monitorar os níveis de radiação manualmente depois que seus sensores baseados no Windows foram desligados.
Há poucos dados ainda sobre a quantidade de sistemas que já foram infectados pelo ransomware Petya nas últimas horas, mas especula-se que o ransomware possa ter uma extensão maior que a do WannaCry.
Pesquisadores de segurança da Kaspersky Lab dizem ter registrado mais de 45 mil ataques em 99 países, incluindo Reino Unido, Rússia, Ucrânia, Índia, China, Itália e Egito. Na Espanha, as grandes empresas, incluindo a operadora de telefonia Telefónica, foram infectadas. Mas não está claro ainda se os ataques foram relacionados, mas eles se espalharam simultaneamente em um ataque global que já pode ser considerado maior que o provocado pelo WannaCry. Especula-se também que o ransomware pode ter origem no roubo de "ciberarmas" do governo norte-americano.
Segundo o jornal britânico The Guardian, na noite de sexta-feira, 23, o ransomware se espalhou para os Estados Unidos e América do Sul.
