Identificado o “paciente zero” do último surto de ransomware

A vítima original foi identificada pela ESET a qual alerta que “pagar não é solução, dado o processo para receber bitcoins já não funcionar”.

A origem do novo ataque mundial esteve  numa empresa de software de contabilidade ucraniana chamada M.E.Doc, segundo a ESET, fabricante de tecnologia de segurança representada em Portugal pela WhiteHat. O fabricante de anti-vírus explica que este “paciente zero” se revelou, “infelizmente”, numa boa escolha para iniciar a infecção, uma vez que é uma empresa cujo software de contabilidade é muito popular e usado em diferentes sectores económicos da Ucrânia, incluindo instituições financeiras.

A ESET explica que a partir daquele ponto inicial, vários utilizadores executaram uma actualização “trojanizada” do software M.E.Doc, a qual permitiu aos atacantes lançarem esta terça-feira uma campanha maciça de ransomware que se espalhou rapidamente pela Ucrânia e já atingiu também empresas e instituições de outros países, nomeadamente – e por ordem de severidade – na Itália, Israel, Sérvia, Roménia, EUA, Lituânia e Hungria.

“O pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” e respectiva “Personal Instalation Key” foram desabilitadas na origem pelo fornecedor”. ESET.

Para além de não ser recomendado pelos especialistas, em qualquer caso de ataque por ransomware, a ESET descobriu também que “o pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” e respectiva “Personal Instalation Key” foram desabilitadas na origem pelo fornecedor”. Isto significa que, mesmo que paguem o resgate, os utilizadores não serão capazes depois de receber a chave de desencriptação.

Em Portugal, as empresas não terão sido afectadas. Segundo o Centro Nacional de Cibersegurança ontem até às 17h00 não tinha sido registada qualquer ocorrência, informação que entretanto ainda não foi actualizada pela entidade. A EY, numa nota enviada ao Computerworld terça-feira à noite, confirmava que não se haviam registado problemas em Portugal.

Por precaução, algumas empresas optaram por adoptar medidas preventivas para evitar correr riscos. Os departamentos de TI recomendaram cautela na abertura de emails, ainda que provenientes de contactos conhecidos.

Foi o caso da Serviços Partilhados do Ministério da Saúde (SPMS). Henrique Martins, presidente da organização , assinalou ontem à tarde que, a partir das 18:30, iriam ser implementadas medidas de precaução, com o serviço de email e Internet a ser desactivado como medida preventiva. Durante a noite, os serviços foram alvo de uma nova avaliação e repostos.

Entretanto, o código malicioso, semelhante ao Wanna Cry, ameaça que afectou centenas de milhar de utilizadores em dezenas de países, chegou esta madrugada à Ásia, depois de ter afectado empresas, operações de logística portuárias e sistemas governamentais na Europa, EUA e América do Sul.

A notícia foi avançada pela Bloomberg que referiu que foi afectado afectado um terminal operado pela Moller-Maersk no entreposto do Porto de Jawaharlal Nehru, perto de Mumbai, na Índia. O porto de mercadorias viu-se impossibilitado de fazer cargas e descargas devido ao ataque.

O incidente desta terça-feira foi detectado pela primeira vez na Ucrânia, onde começaram a surgir ataques generalizados contra os aos sistemas de tecnologias de informação de infra-estruturas críticas daquele país, incluindo aviação, bancos e electricidade.

O incidente desta terça-feira foi detectado pela primeira vez na Ucrânia, onde começaram a surgir ataques generalizados contra os aos sistemas de tecnologias de informação de infra-estruturas críticas daquele país, incluindo aviação, bancos e electricidade (como a Ukrenergo ou a Kyuvenergo), explica a CSO. Os sistemas empresariais foram sendo afectados e os processos de rotina foram suspensos. Embora nenhuma tecnologia operacional tenha sido afectada, a tecnologia que administra a rede energética foi afectada.

Foram também afectados, na Ucrânia, o Governo, incluindo o Parlamento, o maior banco do país, o aeroporto de Borysopil de Kiev, os correios, o Metro de Kiev, estações de televisão, a petrolífera Rosneft, o fabricante de aço Evarz e as empresas de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A empresa de navegação dinamarquesa Maersk assinalou que os sistemas no Reino Unido e na Irlanda foram afectados. O ataque ocorreu na véspera do Dia daa Constituição da Ucrânia.

Ainda segundo a CSO, o malware foi identificado como Petya, Petrya ou PETwrap. A ameaça, tal como o WannaCry, utiliza a mesma vulnerabilidade do Windows SMv1. No entanto, não cifrava ficheiros individualmente, afectando, no entanto, o registo de arranque (MBR) deixando o sistema inutilizável. Se o MBR não estiver disponível a nova ameaça irá cifrar ficheiros individuais.

Que parte não percebeu sobre a necessidade de implantar correcções?

As vítimas do Petya poucas desculpas podem ter para não terem actualizado e corrigido falhas. A vulnerabilidade em questão foi corrigida pela Microsoft antes do surto de Maio de WannaCry. Mas depois dessa vaga , a Microsoft forneceu patches adicionais para sistemas operacionais mais antigos, que não são suportados por actualizações normais, como é o Windows XP e o Server 2003. A opinião é de By , colunista na CSO.

“Mesmo com essas medidas extraordinárias para fornecer aos utilizadores a protecção de que precisavam, alguns falharam ao não actualizar nem corrigir. As entidades que  não instalaram as correcções foram agora vítimas do Petya e são factor de infecção para outros”, conclui.




Deixe um comentário

O seu email não será publicado