"NotPetya" - O que precisa de saber

O que importa saber:

• Não há registo até ao momento de infeções em empresas portuguesas. Possibilidade de infeção em algumas subsidiárias de multinacionais.
• Utiliza ficheiros Office com macros (vulnerabilidade CVE-2017-0199)
• Este ataque tem similaridades com o WannaCry e usa a mesma vulnerabilidade do SMBv1 pelo exploit EthernalBlue para propagação lateral
• Os fabricantes de cibersegurança ainda divergem sobre se este ataque é ou não um derivado do Petya 2016
• O malware encritpa todos o disco durante o reboot e não ficheiros individuais como o WannaCry
• Está barrado o e-mail de resgate num ISP alemão. Impossível efetuar pagamento.
• Suspeita de ter sido um ataque estratégico para paralisar a Ucrânia que depois se disseminou para outros países.

O filme do ataque
O ataque terá tido como primeiro alvo o Governo, bancos e empresas estratégicas  na Ucrânia.
Face ao facto de novamente ser um ataque que teve pouco retorno financeiro para os cibercriminosos, existe a suspeita não confirmada que a motivação foi de ordem estratégica ou política e não simplesmente criminal. Esta possibilidade não está confirmada.

De acordo com informação apurada pela IT Insight, a infeção teve início através de um e-mail de phishing ou spam. A lista de empresas ucranianas afetadas inclui a distribuidora nacional de eletricidade, que foi no passado alvo de um ataque que provocou o maior blackout que há registo na europa.

A Ucrânia que frequentemente acusa a Rússia por infeções passadas que afetaram infraestruturas críticas, desta vez não o faz porque a própria Rosneft , o colosso russo do petróleo, é já um dos grandes lesados com interrupção parcial da produção.

Mas se o ataque original esteve neste país do leste europeu, a realidade é que alastrou globalmente a muitas empresas e instituições.
A BBC relata várias grandes empresas no Reino Unido afetadas, assim como em Espanha o Jornal ElPais relata que empresas de base multinacional foram as primeiras infetadas, caso dos laboratórios Merck em España.

O malware é do tipo anteriormente conhecido como Petya, o Petrwrap, e afeta sistemas operativos Windows em exclusivo. Segundo adiantou ainda a Cybersafe, este ransomware utiliza as mesas bases de movimentação lateral do WannaCry. No entanto, difere dos demais ataques de ransomware uma vez que ao invés de encriptar ficheiros individualmente, rescreve o Master Boot e encripta a Master File Table, tornando o disco inoperável, explicou a Cybersafe.

(Imagem tem de um PC bloqueado com pedido de resgate em Bitcoins)

Sob o ponto de vista do benefício financeiro dos atacantes, este ataque é ainda mais intrigante que o WannaCry porque posteriormente deixou de ser possível mesmo pagar os 300 $USD exigidos para a libertação dos discos.

A razão é que a forma de comunicação para informar do pagamento assim como para receber a chave de desencriptação é feita por um respeitável serviço independente de e-mail baseado em Berlim, a Posteo.de , que logo que foi informada que era a via de comunicação dos cibercriminosos encerrou a conta, como informa em comunicado:

"Here are the facts that we can contribute to “PetrWrap/Petya”: Since midday it is no longer possible for the blackmailers to access the email account or send emails. Sending emails to the account is no longer possible either."
 
Modus operandi
De acordo com especialistas, este malware está a usar as mesmas vulnerabilidades do WannaCry uma vez que muitas empresas não afetadas no anterior ataque ainda não atualizaram os patches da Microsoft.

Os antivírus tradicionais não conseguiram detetar inicialmente o ataque, mas pelo menos dois fabricantes já estão a disponibilizar o update necessário, que, porém, só será capaz de controlar o ponto de entrada da infeção.

A entrada do malware no "paciente zero" é feito por Office, na abertura de  anexos incluídos nas mensagens de-mail que usam uma vulnerabilidade crítica do Microsoft Office (CVE-¬‐2017-¬‐0199 Office RTF vulnerability) para fazer download do instalador do malware a partir da Internet e execução da propagação da infeção a toda a rede.

O original Petya foi pela primeira vez observado em março do ano passado e usa encriptação de dois níveis. No modo de operar em primeiro lugar faz um reboot (de 10 a 60 minutos após a infeção) por uma prompt provocando um Blue Screen of Death (BSoD), e depois manipula o master boot record (MBR) durante o arranque, fechando todo o acesso ao disco.

A Kaspersky Lab avança que 2 mil infeções foram já registas até às 16h de ontem (27.06.2017), pelo seu sistema de monitorização, com a Ucrânia, Rússia, Polónia Itália, Reino Unido e Alemanha no topo do ranking.

Mas, de acordo com este fabricante não se trata de uma variante do Petya mas de algo totalmente novo: "Este parece ser um ataque complexo que envolve vários vetores. Podemos confirmar que o exploit EternalBlue modificado está a ser utilizado para propagação, pelo menos dentro das redes corporativas."

Por essa razão este malware recebeu já o nome de NotPetya

A Kaspersky Lab, para além de recomendar as empresas atualizarem o Windows, divulga as seguintes recomendações:

• Confirmem que toda a proteção está ativada, tal como recomendado; que têm ativada a componente KSN/System Watcher.
• Usem a funcionalidade AppLocker para desativar a execução de ficheiros com o nome perfc.dat”; assim como a funcionalidade PSExec da Sysinternals Suite.

Em Portugal várias empresas e instituições tomaram medidas preventivas como é o caso dos Serviços Partilhados do Ministério da Saúde que desligaram os serviços de e-mail e internet do SNS, por precaução.
Mas ao contrário do ocorrido com o WannaCry, até ao momento só são conhecidos em Portugal ataques em empresas subsidiárias que utilizam sub-redes das respetivas multinacionais.

Fonte: IT Insight